LifeLabs遭黑客窃取病人资料,并支付赎金,令公众哗然。本报资料图片
近几年,个人资料外泄事件频发,包括近日发生的加国医疗化验公司LifeLabs遭黑客入侵事件, 引发公众对资讯安全的关注,更有温哥华律师拟代表受影响的民众发起集体诉讼,控告LifeLabs(详另文)。有数据安全专家呼吁,处理敏感资讯的公司有必要采用更先进的资安技术,并在公司系统设计时,把私隐保护的重要性放在第一位。
数据管理平台PHEMI System技术总监莫理森(Scott Morrison)表示,个人资讯外泄令民众个人身份和信息被滥用或盗用,也带来不小的金钱损失。这一问题近几年不断增加,是跨国、跨领域的普遍现象,多涉及零售业、金融业,及医疗业等。以LifeLabs事件为例,被盗的信息就关系著客户最敏感的健康、身份资讯,信息的泄露也令受影响的民众感到恐慌。
应该采用多重验证技术
他认为,这些个案都在提醒处理敏感资讯的公司,加强私隐保护的重要性,包括借助资安科技,提高对用户账号的保护。他强调,从个人角度来看,每间公司都应该尽可能采用多重要素验证(Multi-factor authentication,简称MFA)技术,也就是多因素验证,是一种电脑存取控制的方法,用户要通过两种以上的认证机制后,才得到授权,使用电脑资源。这种方式可以有效提高安全性,也是保护用户账号信息最直接有用的办法之一,但他称:「很可惜,并非每个公司都引入了这些手段。」
莫理森说:「这是个令人难过的现实,很多机构在处理这些敏感资讯时都没有足够的保护措施,没有采用更先进的安全系统。其实简单的资讯科技(IT)技术更新,就能够达到更好效果。」
莫理森
他亦鼓励这些公司,遵照基本资讯安全原则来处理和保管用户信息,可有效防范资讯泄露的可能。
譬如常见的「最小特权原则」(Principle of Least Privilege,简称POLP) ,即把员工进入系统权限,限制到基本水平,但仍能保证正常运作、满足工作需求的做法。 在这种情况下,一旦有员工个人账户被盗或遭黑客攻击,也不会有大范围的损失,同时也避免内部人员引发出资安事件。他举例称,魁省金融机构德信集团(Desjardins Group) ,今年6月份就发生内部员工在下载客户资讯时,出现外泄资料就是很好的例子。
他并指出,许多公司的服务系统设计也没有将个人私隐安全作为首要考量。他建议多采纳「私隐始于设计」 (Privacy by Design) 的架构,在最初阶段就对隐私及资料保护问题进行预测及处理,在基础架构的各层嵌入私隐控制,并延伸到企业所使用的应用程序中。
本报记者倪怡婧报道
