香港私隱專員公署就數碼港公司資安事故的調查報告

香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告

報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html)

事件源於數碼港向私隱專員公署通報資料外洩事故（該資料外洩事故），表示其電腦系統及檔案伺服器遭受到勒索軟件攻擊及惡意加密。自稱Trigona的黑客組織要求數碼港支付贖金，為已被加密的檔案解鎖。事件導致超過13,000名資料當事人的個人資料外洩，當中約四成受影響人士為求職者及已離職僱員。

報告指出數碼港就資訊保安上有五個大的缺失，致令事件發生：

1.      資訊系統欠缺有效的偵測措施，導致未能有效地偵測黑客以暴力攻擊其資訊系統，令黑客能成功獲取具管理員權限的帳戶憑證，並繼而進行勒索軟件攻擊及竊取儲存於系統內的個人資料；

2.      沒有為遠端存取資料啟用多重認證功能，以核實獲授權可遠端登入數碼港網絡的用戶身分，導致黑客能利用獲取的帳戶憑證透過遠端桌面連接進入數碼港的網絡，竊取個人資料；

3.      對資訊系統進行的保安審計不足，未能適時應對資訊科技的變化及網絡安全的風險；

4.      資訊保安政策有欠具體 ，未能讓員工有一個具體的網絡保安框架可依循；及

5.      個人資料被不必要地保留：沒有根據其資料保留政策在保留期屆滿後刪除所收集得的個人資料，導致約四成受影響人士因其個人資料被不必要地保留而受該資料外洩事故影響。

筆者會歸類第1和第2項是技術上的缺失。我們作為資安業者，向來不敢以「滴水不漏」自居，因為知道這世界沒有最安全的環境，而且科技日新月異，資訊保安的措施理應與時並進。但此報告上看，數碼港很大可能是已經有很多年沒有更新甚保安方案，致令黑客能使用brute force attacks而沒有有效的方案去防止，亦沒有通報。

在平衡可用性和安全性上，如果一個戶口被頻密重複輸入錯誤密碼，理應有一個機制去停止。舉例如暫時鎖定帳戶，並於確定是帳戶持有人錯誤操作或忘記密碼前，並不容許解開帳戶。這是從防御方面入手，截停入侵者再繼續嘗試。其次是在偵測到這種不尋常的行為時，理應有警示給與資安人員。比如發電郵、短訊等予相關帳戶持有人、其直屬上司及資安人員。以確定相關帳戶是否已經被入侵者鎖定，以進行進一步的登入。

其二是在現今已經在說着MFA也有機會不安全的情況，Cyberport竟然是沒有對遠端登入進行2FA、MFA的操作。致令只要能取得密碼就能登入。這是令人非常震驚的一件事情！

至於第3至第5項，其實並非很深奧的資安技術，反而是非常基礎的IT審計。如果每年都有做General IT Control 的審計，其實第1至2項很早就會被審計師發現並提議整改。整改成本不大，基本就是用一些Next Generation Firewall皆幾乎標準配置的技援MFA的VPN、SIEM或者有Alert功能的通報。

同時，GITC的IT Audit亦會就現有的資安政策進行檢視，如沒有的企業固然要撰寫資安政策，就算已有的都需要每年進行審計師的檢視，以確保符合現今標準並且貼合業務所需。

最後一項，在IT Audit的年度審計一樣無所遁形，因為審計師一樣會就着公司的政策和法規要求，去做數據樣本分析，以確保公司的數據不會保存過多或過少。而已經淘汰的數據亦應及時清除，以符合當地法規。

筆者暫未知道相關公司的年度審計的操作方式，但如果能確切執行IT年度審計，這五大缺失皆是可避免的。而綜合現有資訊，我亦肯定該駭客組織亦無需使用甚麼進階技術，只是使用非常尋常的攻擊技術已經可以攻破相關公司的資安架構。

這事件非常值得各機構借鑑，很多時並非我們遇到甚麼強大的敵人，而是我們自己有太大的破綻。