现在,香港的每个人都知道国泰航空的数据泄露事件,这会导致多达940万乘客的个人信息泄露。
并非所有数据泄露都是平等的。这个特别的一个在家附近,许多人感到恼火,虽然5月发生了破坏,但最近才公布。
香港信息技术立法委员查尔斯莫克说:“鉴于本地和全球乘客对航空公司的高度信任,这次[活动]非常令人失望。“虽然这次数据泄露无疑会破坏香港的国际形象,但我更关心国泰航空近一半的时间,最终通知隐私监管机构并影响全球乘客。”
香港安全公司握手网络公司的管理顾问理查德斯塔格说:“CX似乎已经发现了不寻常的流量本身,但我们不知道在漏洞和检测之间经过了多长时间。” “如果是同一天,请大胆!如果这是一个六个月的差距,那么......无论是什么都与布拉沃相反。“
企业懊悔
“我们对此数据安全事件可能导致乘客的任何担忧表示非常抱歉,”CX首席执行官鲁珀特霍格在一份声明中表示。
好的,我很抱歉,霍格先生。作为国泰长期传单和马可孛罗会会员,我委托贵公司提供几家公司实体所拥有的数据。例如,我的护照详情。也许这些敏感信息已泄露到其他地方 - 毕竟,互联网不断泄漏,许多人在Facebook和谷歌等平台上发布信息,其业务基本上是数据交易。
你的不是。您的业务是从A点到B点的乘客和货物的飞机载荷。您的过程需要准确的数据,这些数据通常是敏感的。在2006年收购港龙航空之前,您是香港的旗舰航空公司,现在您的资料更高。正如莫先生所说:“这次数据泄露无疑将破坏香港的国际形象。”
我知道这听起来很苛刻,但我喜欢飞上国泰,我很欣赏他们在香港优秀供应链中的角色。在南海的这块岩石上,我们享受着许多亚洲城市所羡慕的商品和服务,而国泰则是其中的一部分。你的空乘人员非常努力地让航空旅行更加愉快(有些人会说“可以忍受”)。你的行李牌永久贴在我的旅行包上,因为我经常使用CX。
请把这个意见作为“强硬的爱” - 我不会取消我的低级别俱乐部会员资格。但你需要知道香港人的感受。我个人感觉:这很难打,因为我们认为国泰是“我们的”当地航空公司。观看70年代或80年代的任何一部香港电影 - 如果一架飞机降落或从启德起飞,它会在旁边用绿色大字母说“国泰航空”。
所以让我们解开一下。
大规模违规
“国泰航空发生的大规模数据泄露是香港公司有史以来最严重的数据泄露事件之一,影响全球近1000万乘客,”Mok说。“根据目前可获得的信息,由于攻击的复杂性,该公司已聘请外部信息安全顾问协助其调查,并在2018年5月确认数据泄露事件。根据隐私专员处理数据的指导原则如果在数据泄露中可以合理预见真正的损害风险,数据用户应尽快通知受影响的数据主体和相关方。“
Mok表示,“英国航空公司在8月底至9月初遭遇严重破坏,影响了超过380,000名客户的敏感个人和财务信息[并且]该公司在三天内向监管机构和公众报告了这一事件,因为GDPR已经明确强制要求必须在72小时内向有关当局报告数据泄露事件。“
“这是否会引发香港强制公开法是另一回事,”斯塔格说。“我怀疑CX不打算透露在所有除了一些强行的手,我认为这画显著注意需要强制公开,除了从GDPR压力。”
我们现有的PDPO可以追溯到20世纪90年代中期,正如Mok 在去年6月的计算机世界香港舆论中所解释的那样,今天非常值得重新阅读。现在是时候更新我们的立法,以更好地反映GDPR规定的新要求吗?GDPR是否代表最佳做法,如果是,那不是香港所渴望的吗?
行动和后果
“在过去几年中,政府部门,旅行社和互联网服务提供商的主要数据泄露再次证明了投资IT以提高网络安全准备程度和制定全面的事件响应计划的重要性,”Mok说。“去年,CX进行了重大重组,并大幅削减了信息技术部门,影响了其五分之一的IT员工。”
立法会议员说:「国泰航空欠客户详细解释他们如何利用他们的系统,以及他们如何防止这种情况再次发生。」“这次大规模的数据泄露事件提醒高级管理层,IT不是成本中心,而是确保运营和安全抵御快速发展的信息安全威胁的重要基础。”
斯塔格增加了额外的观点:“人们将从中汲取的真正教训是:'哦,有什么用?' 有一种真正的感觉,无论你投资什么,无论你如何谨慎地实施和测试并添加安全层,一些[实体]最终都会破坏你。这在某种程度上是正确的,并解释了网络安全保险的增长和隐私立法的爆炸性增长,这些立法规定公司不应存储任何他们不能承受的损失(罚款将确保他们真正认真关于他们能负担什么)。“
“这种违规行为的真正影响在于,大量小型企业将会士气低落,质疑安全设备,软件,程序和合规性的投资点,”Stagg说。“这对坏人来说真是个好消息。”
莫:“现在是香港加强隐私法的时候了。”
是的。