【全球都關事】歐盟GDPR實施一年 港企仍以為與己無關
被稱為全球現時最嚴厲的私隱保障及安全法規,歐盟《一般資料保護規則 》(GDPR) 已實施超過一年。此規則旨在為歐盟公民個人資料的儲存和處理,提供更好的保障,但仍然有許多公司未有對此嚴格遵守,當中包括歐洲以外的知名公司。
例如,美國酒店連鎖巨頭萬豪國際集團 (Marriott International)因駭客盜取了 3.83 億條客人訂房記錄,結果要面對 1.25 億美元巨額罰款;谷歌亦因其用戶意見征求政策,以及未對使用用戶信息進行足夠監管,而被罰款 5,680 萬美元。
儘管以上案件備受矚目,全球任何機構在針對或收集與歐盟成員國家人民有關的資料的行為上,亦必須嚴格遵守 GDPR,只要有任何一個客戶屬於歐盟公民,都要遵守該新法,但香港一些公司仍然以為這法規與其業務運作無關。事實上,歐盟是香港的第二大的貿易夥伴,排名僅次於中國內地;在香港,市面上更有逾 2,200 家來自歐盟國家的公司正在進行業務。
為幫助本地企業遵守 GDPR,香港電腦保安事故協調中心(HKCERT)已經找出可造成資料外洩的四種主要網絡攻擊,若採取適當的保安措施,便可以減低其影響。這些攻擊包括:
- 網絡釣魚攻擊:網絡釣魚是最常見的攻擊手法之一,有很高的騙取用戶憑證成功率。因此,應定期進行用戶意識培訓,以保持工作人員對可疑網站和電子郵件的高度警惕。
- 利用系統漏洞攻擊:實施計劃周全的修補程式更新管理,包括修補程式更新週期,例如在推出到生產環境之前在預備環境進行「用戶接受度測試」(UAT),以及訂立針對終止支援的系統的適當退出計劃,對防止攻擊者通過舊版或未進行修補程式更新的系統損害公司網絡,尤關重要。若企業因一些實際的理由而無法替代舊版系統,便需要一層額外的保護(即防火牆)來控制和監視對它的訪問。
- 來自不可信的網路的攻擊:一旦員工試圖通過公開的網絡(例如互聯網或公共 Wi-Fi)進入公司網絡,資料外洩的風險就會大大增加,例如設備丟失、會話劫持等,所以必須應用嚴格的身份驗證,例如雙重驗證、使用 VPN 連接和實行資料保護政策。
- 內部人員攻擊:內部威脅是企業間諜活動中最嚴重的威脅之一。此情況下,大多數先進的安全技術不能再被採用,因此只能透過深入防禦來解決,例如使用內部防火牆、網絡分段、對網絡和物理訪問的角色為本控制以及提高用戶意識等必不可少的防禦措施。
總而言之,香港的企業必須認識到,在一個外向型經濟體和國際城市中經營業務,他們無法不受 GDPR 的約束。不論是進出口貿易、銀行和金融、旅遊和酒店業、甚至物業管理和教育等行業,都必須採取一切措施把資料外洩的威脅減到最少,否則只會成為下一個遭 GDPR 處以巨額罰款的「受害者」。
企業或公眾欲了解更多改善網絡保安的方法,請瀏覽HKCERT網站:www.hkcert.org,亦可選擇致電熱線 (852) 8105 6060或電郵至[email protected] 聯絡 HKCERT。
(Article contributed by 香港電腦保安事故協調中心)
