资讯科技审计及教育

2008-06-15
在开放式的互联网工作环境下,必须格外留意保安处理。
  汇丰银行在装修期间发生遗失伺服器事件,外泄近十六万个帐户资料。对一般香港市民来说,遗失伺服器可说是前所未闻。事实上,美国便发生过不止一宗持械打劫数据中心的事件,事件中数据中心的伺服器被贼人偷去,令一些网站停止运作。不过,银行等商业机构对这些机密资料都会采用多重加密形式储存,以一般手法难以窃取当中的资料,因此市民无需过份担忧。但从另一角度看,事件却暴露了银行在资料保护上处理失当,若然这部存有客户私隐资料的伺服器落入专业黑客手中,后果便不堪设想。

  另外近日多个公营机构,亦接二连三发生同类型私人数码资料外泄事件,例如医院管理局职员屡次遗失存有数以千计病人记录的USB记忆体(俗称手指)、入境处员工把机密文件存放在家中私人电脑,但却被网民无意地利用Foxy搜寻及共享档案软件下载等个案。

  这些事件,反映出大机构及普罗香港大众在保障数码资料方面的意识甚为薄弱。其实当事人只需要略为小心,例如在档案或手指上加上密码,便可减低泄密机会。归根究底,问题在于政府及企业在资讯系统保安处理步骤上失误。举例来说,它们一般只设定机密资料的存取权限,但却没有设定资料必须存放的地理范围,如那些机密资料只能存放在某指定地方内的某部指定电脑,并且要求任何员工在未经部门主管允许下不得擅自取阅。在今天开放式的互联网工作环境之下,这些保安步骤更加需要严格执行。

加强IT操手培训
  以医管局遗失「手指」事件为例,事件令不少病人寐食难安,恐防个人私隐遭外泄。事件发生后不久,医管局高层随即公开解释,并承诺在短期内制定一系列保障病人资料外泄的新措施,当中包括:(一)任何员工在未获得行政总监允许之下,不得擅自携带载有病人资料的「手指」离开办公室、(二)要求所有员工采用内置有加密功能的「手指」等。「亡羊补牢,未为晚也」,推出这些新措施是绝对正确的做法,医管局应马上在辖下各公立医院及行政部门全面执行。

  表面上,医管局在处理这次危机的手法颇为恰当,在接触传媒时,他们积极及主动的态度得分不少,这做法一来可以大大减轻普罗市民对事件作不必要的推测,二来更可以避免传媒对事件穷追猛打。可是看深一层,事件还存在一连串令人大惑不解的疑点:

  疑点一:医管局要制定新措施,似乎暗示了他们在提供电子化服务之前,并未设有保护私隐(Privacy)的明确守则。若真的如此,是否表示员工以往从办公室带走载有病人资料的文件都一直无须事先得到上司批准?

  疑点二:若医管局已设有一套行之有效的守则,那为何不能应用于数码资料?理论上任何私隐守则所保护的目标都是资料,而不应该受到记录资料媒体(简称载体Carrier)的限制。因此事件中无论病人资料是存放在「手指」内或「纸张」上,都应同样地受现有守则的保护。

  疑点三:若现有的措施及手则在今日科技发达的环境下已失效,那为何医管局又没有与时俱进定期更新守则的内容呢?

  疑点四:若现有守则确实适用于数码资料及电子载体,那为何今次应用「手指」的员工会如此疏忽?这是否意味着在医管局内部门与部门之间欠缺沟通,导致员工们未能完全了解现有保护私隐的措施及守则呢?

  其实香港政府每年投放在医疗服务上的金额不菲,其中部份是用于资讯科技的设备及发展。虽然多年来香港出产了不少成功的医疗资讯科技项目,并在国际社会中屡获殊荣,例如医管局开发的「电子病历纪录及放射图像传送系统」,曾荣获二零零五年亚太区资讯及通讯科技大奖的「健康医疗」组冠军。但似乎这些成就只适用于「硬件」上,而「软件」上的配套(如员工IT操手培训)却未能与同步发展。今次事件便是一个好例子,医管局员工可能为了提高资料处理的效率,把「手指」随身携带而最终导致资料遗失,这显示员工在维护私隐上的意识极为薄弱,必须尽快强化。

加强资讯科技审计意识
  在这些事件中,肇事机构在事前并未能自觉保护资料故然值得内部好好地自我检讨,但负责维护市民利益的私隐专员公署后知后觉,更值得市民忧心。公署在泄密事件发生后,才对有关机构作出调查,未免太过被动。受了这次教训后,他们应积极考虑制定一套有约束力的资讯保安指引。这指引应列明政府机构及企业在发生泄密事故时,应立即评估泄漏资料的风险报告及补救方法,并于指定时限内通知相关部门。这些步骤正是资讯科技审计(IT Auditing)所覆盖的主要范围之一,可是总体而论,资讯科技审计在香港的接受程度仍然偏低。

  除大企业外,中小型企业也有责任保障所有收集的客户个人资料。这些公司适宜进行定期资讯科技审计,特别是个人私隐资料的储存、应用、传送等过程是否合乎国际标准,以确保个人资料的安全。另外中小型企业应考虑在公司网络安装加密的设施,以确保伺服器内的资料已经加密。香港中文大学一直以来有进行加密资料的相关研究,其中包括将加密仪器设置于公司的网络之中,使每部连网的电脑都必须要核实用户身份才可读写伺服器的资料,以防止不速之客入侵。再者,若真的需要随身携带资料,公司亦可提供内置有指模辨识及密码保护的记忆体供员工使用。

  庆幸现阶段还没有市民因今次连番个人资讯泄漏事件而导致大量损失,但我们不宜掉以轻心。随着香港资讯系统应用日益普及,有组织性盗窃个人资料的活动难以避免。不仅是机构,市民亦有责任保障自己个人的资讯,例如不应在公众电脑登入网上银行、应经常更改网上银行密码、尽量避免在网上公开个人资料、并于重要文件加上密码,及在电脑上安装防毒和反间谍软件等等。

结语
  无论如何,私隐外泄事件绝对不容重蹈覆辙,不然的话,香港的世界商业及全融中心的地位便会大受影响。

  最后,笔者欲借今次事件,提醒所有公营机构及企业,在扩充业务时,切忌只顾及发展科技而忽略了培训员工及教育市民大众基本的科技道德观念,只有这样「软硬兼施」的发展模式,才可以把科技应用的优势彻底发挥。
相关文章 / Related Articles

香港学生反修例运动中网络关系解体的实证调查

宋昭勋、吴静、胡欣立
2021-01-11

ICT Use at Home and Telecommuting Practices in Hong Kong

Louis Leung
Renwen Zhang
2016-07-25