Friday, May 08, 2015

從大家樂資料外泄事件看香港企業資訊保安狀況

連鎖快餐集團大家樂意外外泄超過10個客戶資料,反映不少企業仍對資訊保安的意識處於未開發的狀態。



從企業初步透露的訊息,事故起因是有職員意外將內載超過10個客戶資料的檔案以附件的形式傳給了一名客戶。從事件看來,以由一連串低級錯誤所組成,包括:



1) 對電郵的安全性缺乏認知

電郵是一種很便利的溝通工具,卻並不是安全的數據傳送工具。第一,普通電郵的傳訊是沒有加密的,只有有心人從中截取,訊息便有泄露的危險。第二,相信不少人也曾有經驗收到不屬於自己的電郵,其中一部份是源於傳送者錯誤鍵入電郵地址,更有一些是不知原因地被傳送到不正確的地址的。可見以電郵傳送敏感資料的風險有多大。



2) 資料取用欠缺管制,遠超所需

在資訊保安領域中,有一基本概念是Principle of least privilege (最小權限原則),即如無必要,則不要授出多餘的權利。在實際企業運作的角度看,很難想像在企業內部有誰有需要同時取用多達10個客戶的資料。縱使真的有人有需要取用一部份的客戶資料,正確的做法也應是經適當申請、審核、授權的過程下,由資料庫中查詢需要的部份,並在整個使用的過程嚴格監控,在使用後有效銷毀。如果員工可以輕易將內載龐大客戶資料的檔案這樣地傳來傳去,我很懷疑類似的客戶資料檔案在企業內還有多少個複本被不安全地存在著。



3) 缺乏清晰的外傳資料加密要求

從事件中可估計企業以電郵形式外傳資料的做法並不罕見。但是,縱使真的有此需要,企業也應訂定清晰的規則並提供培訓,要求員工以甚麼工具並以特定的加密方法處理有關資料,將風險降低。



由此可見,有關企業明顯欠缺一個有系統的資訊保安制度,對資訊保安的風險意識也急需大大提高。連處於業內龍頭的企業也有如斯漏洞,相信在香港存在相類似問題的企業多如牛毛,情況令人不安。