Thursday, March 23, 2006

IPCC incident 2

The press report below is a good reference summing up the responses of various sectors on the IPCC incident. It is the usual way the Hong Kong press handles such materials, i.e. putting everything in the wok and producing a dish of chop-suey without analyzing and assessing the practicability and feasibility of the views.

One thing may be true, that despite the guidelines on IT security and the requirement of IT security audit, all of them could land on the soft belly of the bureaucracy and vanish. There could be interdepartmental working group (a very familiar move for any crisis), detailed instructions, consultancy, but the deed is usually considered done after these preceding measures. The most important part of compliance could just be ignored. IT security awareness could just be the awareness of following the rules superficially and engaging in surveys and audits. The awareness of the actual security of data is still far away. I think general education as well as the development of IT management professionals is the solution.

There are also views on strengthening the power of the enforcement agencies on monitoring, and also revising the PDPO to give more power to PCO on restricting the "illegal" flow of personal data. This is a dangerous sword with two sharp edges. Public opinion is always swinging. Whenever there is incident of data leakage, we ask for more control; but when there is data embargo on any scandal, we ask for less control. A balance is hard to find. For the present case, some clever persons may use it for empire building.

《信報財經新聞》2006年3月20日
警監會投訴人及被投訴人資料外洩事件,再加上某些商業機構的客戶個人資料同樣在互聯網上出現,暴露了政府和私人機構處理網絡資訊保安的不當,以及執法部門和私隱法例的不足,令香港各界的資訊保安響起警號。傳媒和公眾在事件揭發之初,一直追問如何能把流出互聯網的資訊刪除。答案當然簡單,而且只有一個 — 就是辦不到。目前,除追究責任外,各界其實更應集中精力去研究如何預防同類事故再次發生。

這次警監會洩漏資料事件,差不多是個完美的反面教材。警監會委託服務商進行的工程,應是個一般性的數據格式轉換,整件事過程中所犯的第一個錯誤,就是不該把真實資料提供給承辦商,應以模擬資料代替;即使有必要提供真實資料參考,也不能讓資料離開機構內部範圍。而且,警監會似乎未充分向服務商指引該資料庫的機密性。服務商也犯了多重錯誤。首先,他們應該對任何有關個人資料的檔案存有警覺性,不能胡亂再加外判,容許人員把工作帶返家中進行,亦不應把檔案作不必要的拷貝,更不可放在接上公共互聯網的伺服器上,所謂什?上載要密碼,下載又不用密碼,已是後話,何必當初;最後,工作完畢而不刪除資料,更是錯上加錯。

然而,如何以正確方法處理資訊保安,是有國際認可的標準,例如BS7799和ISO27001。而負責政府資訊科技統籌的政府資訊科技總監辦公室,雖然貼近這些技術和保安措施的細節,卻無權責向各政府部門實施檢討和審核,業內人士亦心知肚明,有些政府部門在經過外間顧問審核後,對顧問建議亦不一定依從。

所以,政府有必要立即成立跨部門工作小組,由政府資訊科技總監辦公室協調,甚至由更高層領導,責成所有政府部門及資助機構跟從,全面重新檢討和審核各部門及機構的表現,制定並執行一切改善措施,工作應在六個月或一個合理時間內完成,並向公眾宣布,以求挽回公眾對政府機構處理市民私隱的信心,另一方面也對私人機構起帶頭作用。此外,資訊科技業界應該與政府合作,訂立行業外判工序時的資訊安全守則,並向業內外的公私營機構和企業推廣,要求採納跟從。

而且,警監會洩露資料事件發展至今,警方、私隱專員公署與警監會仍未有向公眾表示調撥足夠資源進行網上監控,甚至連有報道指有關資料檔案在網上繼續透過 BT等方法發放,執法機關也沒有表示會嚴打,更沒有主動在網上搜索任何公私機構可能流出的資料,以求預防加深對公眾傷害。相比之下,當局對網絡非法下載影音這些侵犯私有產權行為,反而能高調地採取全天候的監控行動。然而,單是警監會洩露資料事件已牽涉二萬多個受害人,對市民及社會影響更具迫切性,但政府卻沒有採取打擊盜版同樣的監控措施,令人對執法的資源調配準則起疑。

今次事件亦充分反映現行個人資料(私隱)條例之不足之處,雖說受影響市民有權循民事索償,但在警監會這特殊和敏感性質下,絕大多數受害人都不會願意「挺身而出」,自曝身份。香港法律也不容許提出集體訴訟,連私隱專員也不能直接提出刑事訴訟,因為法例只容許他在先作出執行通知要求資料使用機構改善而仍不得要領後,才能請求律政部門決定是否起訴。換句話說,現行法例除作為一些指引基礎外,實際依法追訴能力原來有等於無。故此,檢討私隱條例工作已經刻不容緩。

No comments:

Post a Comment