数据外泄频发,姓名居首

数据安全一向是IT外包服务界热门的信息安全议题。去年屡次发生大大小小的数据外泄事故,大众纷纷关注机构的数据保安政策,相关的法规也日趋严谨。

Symantec的11月份网络安全报告显示,数据外泄事故持续上升,每次事故中外泄的个人资料数量中位数高达8,404。用户的真实姓名乃最常被盗的数据,涉及逾半数据外泄事故;其次为帐户名称及密码,以及身份证号码,两者分别占被盗数据的40%和33%。

以往,网上留言板及网上游戏是数据外泄的热点;但这些网站现在只要求用户提供用户名称或化名,较少涉及用户真实姓名。近年,黑客改为觊觎医疗保健和教育等 机构的网上服务,逾8成的数据外泄事故均牵涉此类机构。原因之一是这些网上服务泰半只属辅助性质,并非机构的主要业务,保安相对较松懈,令不法分子有机可 乘。

值得注意的是,财务数据例如银行数据、信用卡号码和薪金数据等,仅占外泄数据的13%。报告分析指,当局加紧收集、确认和储存财务数据的规管,有助保护数据,减低财务数据外泄机会。

恶意软件假冒Mac应用

然而,大众决不可以对信息安全掉以轻心。趋势科技发现黑客利用假冒为Mac应用程序的恶意软件,诱骗用户同意暗藏陷阱的条款,例如定期从流动账户扣款,以诈骗金钱。

该个名为OSX_ARCHSMS.A的恶意软件被置于软件下载网站,这类网站声称提供正版软件供人下载。用户下载该假Mac应用程序后,安装引导画面会 要求用户提供手机号码,以进行短讯验证;其后程序会要求用户同意使用条款,但条款当中竟包括同意流动电话帐户被定期扣款。一旦使用者同意,便可能在不 自知的情况下被黑客诈财,蒙受损失。

同类的恶意软件层出不穷,除了假冒为Mac应用程序,也会伪装成Windows应用程序。例如Windows影音播放应用程序VK Player实为恶意软件TROJ_ARCHSMS.VK,下载后会要求使用者发送短讯到特定电话号码,然后从用户手机账号擅自扣款。

销毁数据注意标准

要全面保护数据,除了使用和储存时要遵循法规,用后弃置的处理方法也必须一丝不苟。不少企业清除档案时仅把硬盘格式化,只要透过特定程序和软件,便可以复原档案。即使在硬盘删除档案的位置进行复写,依然有机会透过高科技将部分数据还原。

数据处理服务供货商 DataExpert 指出,完整的废弃数据程序,必须具备保密、符合法规及环保三大元素。他们建议,机构可选择由第三方服务商,利用专业的物理性实体破坏机器销毁数据。选择服 务时,机构需要留意服务商所使用的消磁器和破坏机,是否符合ISO、HK OGCIO等各项标准,也可要求提供报告和上门服务,以便监督。部分旧计算机及电器内的可回收物料,可拆件并循环再造,避免浪费。

Social tagging:

Comments are closed.