資訊科技審計及教育

2008-06-15
在開放式的互聯網工作環境下,必須格外留意保安處理。
  匯豐銀行在裝修期間發生遺失伺服器事件,外泄近十六萬個帳戶資料。對一般香港市民來說,遺失伺服器可說是前所未聞。事實上,美國便發生過不止一宗持械打劫數據中心的事件,事件中數據中心的伺服器被賊人偷去,令一些網站停止運作。不過,銀行等商業機構對這些機密資料都會採用多重加密形式儲存,以一般手法難以竊取當中的資料,因此市民無需過份擔憂。但從另一角度看,事件卻暴露了銀行在資料保護上處理失當,若然這部存有客戶私隱資料的伺服器落入專業黑客手中,後果便不堪設想。

  另外近日多個公營機構,亦接二連三發生同類型私人數碼資料外泄事件,例如醫院管理局職員屢次遺失存有數以千計病人記錄的USB記憶體(俗稱手指)、入境處員工把機密文件存放在家中私人電腦,但卻被網民無意地利用Foxy搜尋及共享檔案軟件下載等個案。

  這些事件,反映出大機構及普羅香港大眾在保障數碼資料方面的意識甚為薄弱。其實當事人只需要略為小心,例如在檔案或手指上加上密碼,便可減低洩密機會。歸根究底,問題在於政府及企業在資訊系統保安處理步驟上失誤。舉例來說,它們一般只設定機密資料的存取權限,但卻沒有設定資料必須存放的地理範圍,如那些機密資料只能存放在某指定地方內的某部指定電腦,並且要求任何員工在未經部門主管允許下不得擅自取閱。在今天開放式的互聯網工作環境之下,這些保安步驟更加需要嚴格執行。

加強IT操手培訓
  以醫管局遺失「手指」事件為例,事件令不少病人寐食難安,恐防個人私隱遭外泄。事件發生後不久,醫管局高層隨即公開解釋,並承諾在短期內制定一系列保障病人資料外泄的新措施,當中包括:(一)任何員工在未獲得行政總監允許之下,不得擅自攜帶載有病人資料的「手指」離開辦公室、(二)要求所有員工採用內置有加密功能的「手指」等。「亡羊補牢,未為晚也」,推出這些新措施是絕對正確的做法,醫管局應馬上在轄下各公立醫院及行政部門全面執行。

  表面上,醫管局在處理這次危機的手法頗為恰當,在接觸傳媒時,他們積極及主動的態度得分不少,這做法一來可以大大減輕普羅市民對事件作不必要的推測,二來更可以避免傳媒對事件窮追猛打。可是看深一層,事件還存在一連串令人大惑不解的疑點:

  疑點一:醫管局要制定新措施,似乎暗示了他們在提供電子化服務之前,並未設有保護私隱(Privacy)的明確守則。若真的如此,是否表示員工以往從辦公室帶走載有病人資料的文件都一直無須事先得到上司批准?

  疑點二:若醫管局已設有一套行之有效的守則,那為何不能應用於數碼資料?理論上任何私隱守則所保護的目標都是資料,而不應該受到記錄資料媒體(簡稱載體Carrier)的限制。因此事件中無論病人資料是存放在「手指」內或「紙張」上,都應同樣地受現有守則的保護。

  疑點三:若現有的措施及手則在今日科技發達的環境下已失效,那為何醫管局又沒有與時俱進定期更新守則的內容呢?

  疑點四:若現有守則確實適用於數碼資料及電子載體,那為何今次應用「手指」的員工會如此疏忽?這是否意味著在醫管局內部門與部門之間欠缺溝通,導致員工們未能完全了解現有保護私隱的措施及守則呢?

  其實香港政府每年投放在醫療服務上的金額不菲,其中部份是用於資訊科技的設備及發展。雖然多年來香港出產了不少成功的醫療資訊科技項目,並在國際社會中屢獲殊榮,例如醫管局開發的「電子病歷紀錄及放射圖像傳送系統」,曾榮獲二零零五年亞太區資訊及通訊科技大獎的「健康醫療」組冠軍。但似乎這些成就只適用於「硬件」上,而「軟件」上的配套(如員工IT操手培訓)卻未能與同步發展。今次事件便是一個好例子,醫管局員工可能為了提高資料處理的效率,把「手指」隨身攜帶而最終導致資料遺失,這顯示員工在維護私隱上的意識極為薄弱,必須盡快強化。

加強資訊科技審計意識
  在這些事件中,肇事機構在事前並未能自覺保護資料故然值得內部好好地自我檢討,但負責維護市民利益的私隱專員公署後知後覺,更值得市民憂心。公署在洩密事件發生後,才對有關機構作出調查,未免太過被動。受了這次教訓後,他們應積極考慮制定一套有約束力的資訊保安指引。這指引應列明政府機構及企業在發生洩密事故時,應立即評估洩漏資料的風險報告及補救方法,並於指定時限內通知相關部門。這些步驟正是資訊科技審計(IT Auditing)所覆蓋的主要範圍之一,可是總體而論,資訊科技審計在香港的接受程度仍然偏低。

  除大企業外,中小型企業也有責任保障所有收集的客戶個人資料。這些公司適宜進行定期資訊科技審計,特別是個人私隱資料的儲存、應用、傳送等過程是否合乎國際標準,以確保個人資料的安全。另外中小型企業應考慮在公司網絡安裝加密的設施,以確保伺服器內的資料已經加密。香港中文大學一直以來有進行加密資料的相關研究,其中包括將加密儀器設置於公司的網絡之中,使每部連網的電腦都必須要核實用戶身份才可讀寫伺服器的資料,以防止不速之客入侵。再者,若真的需要隨身攜帶資料,公司亦可提供內置有指模辨識及密碼保護的記憶體供員工使用。

  慶幸現階段還沒有市民因今次連番個人資訊洩漏事件而導致大量損失,但我們不宜掉以輕心。隨著香港資訊系統應用日益普及,有組織性盜竊個人資料的活動難以避免。不僅是機構,市民亦有責任保障自己個人的資訊,例如不應在公眾電腦登入網上銀行、應經常更改網上銀行密碼、盡量避免在網上公開個人資料、並於重要文件加上密碼,及在電腦上安裝防毒和反間諜軟件等等。

結語
  無論如何,私隱外泄事件絕對不容重蹈覆轍,不然的話,香港的世界商業及全融中心的地位便會大受影響。

  最後,筆者欲借今次事件,提醒所有公營機構及企業,在擴充業務時,切忌只顧及發展科技而忽略了培訓員工及教育市民大眾基本的科技道德觀念,只有這樣「軟硬兼施」的發展模式,才可以把科技應用的優勢徹底發揮。
相關文章 / Related Articles

香港學生反修例運動中網絡關係解體的實證調查

宋昭勛、吳靜、胡欣立
2021-01-11

ICT Use at Home and Telecommuting Practices in Hong Kong

Louis Leung
Renwen Zhang
2016-07-25