166 5 促資訊保安 事後回應須早披露 回到國泰航空客戶資料外洩的事故,在防備上出現了漏洞,事發後,國泰因應事 故的處 理,亦有值得討論之處。由於事發於今年 3 月,但國泰航空到 10 月下旬, 相隔逾半年 才公開事件,無論當事機構如何解釋,其理由都難以令人信服。 很明顯,由事發到公開披露消息,時間相差了逾七個月,當中,容許黑客有很大「上下 其手」作出攻擊的空間。為什麼國泰拖延公布而不盡快向外披露,使遭受 資料外洩的受 害客戶能夠盡快作出措施,去避免可能出現的損失,如及時通知相 關銀行暫時停用信用 卡、甚至馬上更改信用卡密碼,或電郵地址的登入密碼等, 把握到避免或減少損失的黃 金時機。 歐盟於 2018 年 5 月下旬所落實的《通用數據保護條例》(General Data Protection Regulation, GDPR),規定個人數據處理者必須清楚地披露任何數據收集,聲明 數據處 理的合法基礎和目的、保留數據的時間。如果數據洩露對用戶私隱產生不 利影響,企業 必須在 72 小時內向主管監督機構報告。盡快向外作信息披露的考 量,是讓受影響的客 戶能夠盡快作出應對,減少損失。 客戶失去自救黃金機會 事實上,企業遭黑客入侵,導致客戶個人資料外洩,若「秘而不宣」,不僅使客 戶的利 益受到更大的潛在損害,而且亦使公司事後面對更大的潛在訴訟風險。誠 然,目前大部 分企業對於公司遭黑客入侵,更傾向把事故「掩飾」,擔心公司聲 譽受損,影響業務, 且往往在事發之初,以免引起公眾無謂恐慌為由,公司需要 時間去了解事故,甚至找出 事故的確實原因,故而沒有及早向外公布。 然而,這種講法值得究詰,正如筆者上周的拙文所指出,網絡資訊系統的保安, 需要涉 及其中的各持份者共同維護、共同作出貢獻、共同承擔,而非單獨一方機 構可以隻手解 決,從這個角度看,國泰今次事故,客戶個人資料的安全和保安, 並非完全是國泰一方 的工作責任,客戶其實亦可以採取行動去保護自己。若出事公司能夠及早通知客戶其網 絡系統出了問題,客戶便可以第一時間,去堵截個人 資料外洩所出現的漏洞,包括及時 刪去一些敏感資料、更改密碼,以至取消這個戶口,做法多種多樣。反之,出事企業延 宕通知客戶,獨力承擔保安的工作責任和「救火」,不僅令客戶失去協助公司堵截保安 漏洞和事後及早作出補救措施的 機會,亦使企業的損失更大。
RkJQdWJsaXNoZXIy NDk5Njg=