數據外泄頻仍 姓名居首

數據安全一向是熱門的資訊安全議題。去年屢次發生大大小小的數據外泄事故，大眾紛紛關注機構的數據保安政策，相關的法規也日趨嚴謹。

Symantec的11月份網絡安全報告顯示，數據外泄事故持續上升，每次事故中外泄的個人資料數量中位數高達8,404。用戶的真實姓名乃最常被盜的數據，涉及逾半數據外泄事故；其次為帳戶名稱及密碼，以及身份證號碼，兩者分別佔被盜數據的40%和33%。

以往，網上留言板及網上遊戲是數據外泄的熱點；但這些網站現在只要求用戶提供用戶名稱或化名，較少涉及用戶真實姓名。近年，黑客改為覬覦醫療保健和教育等機構的網上服務，逾8成的數據外泄事故均牽涉此類機構。原因之一是這些網上服務泰半只屬輔助性質，並非機構的主要業務，保安相對較鬆懈，令不法分子有機可乘。

值得注意的是，財務資料例如銀行資料、信用卡號碼和薪金資料等，僅佔外泄數據的13%。報告分析指，當局加緊收集、確認和儲存財務資料的規管，有助保護數據，減低財務資料外泄機會。

惡意程式假冒Mac應用

然而，大眾決不可以對資訊安全掉以輕心。趨勢科技發現黑客利用假冒為Mac應用程式的惡意程式，誘騙使用者同意暗藏陷阱的條款，例如定期從流動帳戶扣款，以詐騙金錢。

該個名為OSX_ARCHSMS.A的惡意程式被置於軟件下載網站，這類網站聲稱提供正版軟件供人下載。使用者下載該假Mac應用程式後，安裝引導畫面會要求使用者提供手機號碼，以進行短訊驗證；其後程式會要求使用者同意使用條款，但條款當中竟包括同意流動電話帳戶被定期扣款。一旦使用者同意，便可能在不自知的情況下被黑客詐財，蒙受損失。

同類的惡意程式層出不窮，除了假冒為Mac應用程式，也會偽裝成Windows應用程式。例如Windows影音播放應用程式VK Player實為惡意程式TROJ_ARCHSMS.VK，下載後會要求使用者發送短訊到特定電話號碼，然後從使用者手機帳號擅自扣款。

銷毀數據注意標準

要全面保護數據，除了使用和儲存時要遵循法規，用後棄置的處理方法也必須一絲不苟。不少企業清除檔案時僅把硬碟格式化，只要透過特定程序和軟件，便可以復原檔案。即使在硬碟刪除檔案的位置進行複寫，依然有機會透過高科技將部分資料還原。

數據處理服務供應商 DataExpert 指出，完整的廢棄資料程序，必須具備保密、符合法規及環保三大元素。他們建議，機構可選擇由第三方服務商，利用專業的物理性實體破壞機器銷毀資料。選擇服務時，機構需要留意服務商所使用的消磁器和破壞機，是否符合ISO、HK OGCIO等各項標準，也可要求提供報告和上門服務，以便監督。部分舊電腦及電器內的可回收物料，可拆件並循環再造，避免浪費。