“FINTECH - Reshaping the Future of Finance Services”

242 243 科大商學院資訊、商業統計及營運管理學系講座教授 艾禮文家族商學教授 本文曾於 2018 年 11 月 12 日《信報財經新聞》發表 許佳龍 資訊安全靠一方保護損害更大 5.2 關於資訊安全的問題，於 2018 年發生的三宗個人資料外洩的網絡保安 事故，包括國泰航空公司九百多萬名乘客的資料遭不當取覽、英航客戶 的信用卡資料外洩，以及轉數快所出現的安檢驗証紕漏，其中的保安破 綻是，若當事企業聘用第三方服務供應商的資訊保安出現問題，則這個 「第三方」風險便很可能給黑客打開入侵之門，從而殃及當事企業或機 構的網絡系統遭受攻陷，故企業對此「第三方」風險不能掉以輕心。 當下，個人的生活已離不開資訊網絡，而個人資料外洩事件又層出不 窮，更關鍵一點是，隨著資訊科技不斷創新和網絡活動更為普及化，很 多個人資料外洩的紕漏源頭和網絡犯罪，往往又以「嶄新」的來源和形 式出現，令人防不勝防，因此，如何提高個人和企業對資訊保安的意識， 是配合資訊社會發展不可或缺的環節，尤其企業因客戶資料外洩而引起 的法律訴訟賠償風險，如何做到事前防備、事發因應、事後補救這「三 步曲」，必須認真思考；另一方面，在應對個人資料外洩和網絡商業犯 罪事故有增無減情況下，政府如何制訂網絡安全標準，同樣是一個非常 值得討論的迫切議題。 事前防範避免掛一漏萬 今次國泰航空乘客資料外洩事件，國泰在事前防備上－若報導屬實，即 該公司外判網絡安全供應商進行「入侵測試」，以檢測自身的系統有沒 有安全紕漏，但外判網絡安全服務商不小心以國泰航空客戶真實資料作 系統測試，其後遭黑客入侵，以致國泰約 940 萬名乘客的資料遭不當取 覽。很顯然，在事前預防上，國泰有忽略「第三方」風險之嫌，在防備 上有所缺失。 網絡保安與個人私隱保障