香港銀行學會洩逾11萬人個資　私隱公署促改善資料保安

大公文匯全媒體報道，個人資料私隱專員公署今日（9日）指，前年一月接獲香港銀行學會資料外洩事故通報，指名下6部載有個人資料伺服器遭勒索軟件攻擊和惡意加密，涉逾1.3萬名會員和約10萬名非會員個人資料。公署認為該學會違反《私隱條例》保障資料第4（1）原則有關個人資料保安的規定，並要求學會2個月內就執行通知提交報告。

香港銀行學會2018年安裝和啟用一台防火牆，翌年5月防火牆生產商在網站發出保安建議，指留意到有黑客披露其作業系統漏洞，攻擊者可通過相關漏洞，繞過保安限制直接取得「保密插口層虛擬私有網絡」帳戶名稱及密碼，並可於目標系統執行任何程式，呼籲用家立即停用相關功能，並建議啟用多重認證。

前年1月學會因應新冠疫情推行在家工作安排，遂啟用該防火牆相關功能，讓部份有需要員工在家工作期間遙距登入系統，惟事前末曾修補該相關漏洞。前年12月30日發現6部伺服器無法正常存取，學會電腦及備份數據同樣遭勒索軟件加密。公署認為，學會未有制訂修訂程式管理程序，以致未有為受影響系統安裝修補程式，亦未有為相關功能啟用多重認證，故要求學會檢視系統保安和修訂程式管理程序等。