安全「遠低於應有水準」，國泰航空資料外洩案遭英政府罰50萬英鎊

英國資訊委員會辦公室（Information Commissioner Office，ICO）本周公布2018年的國泰航空資料外洩案懲處，由於業者多項缺失突顯安全遠不及格，判罰國泰航空50萬英鎊。

國泰航空2018年遭到攻擊，駭客經由其IT外包商系統駭入Microsoft AD，國泰航空2018年3月發現後啟動了一連串調查，進而發現長達4年、波及近千萬客戶的資料外洩。

調查發現，事件牽涉二組駭客攻擊行動及國泰航空4個系統。第一組駭客入侵其報表系統，不過怎麼駭入的尚不得而知。第二組駭客於2017年8月，經由連外伺服器植入惡意程式後，竊取國泰航空員工帳密，然後取得VPN、管理員控制台及對外App的平台，最後第二組駭客一連駭入會員管理系統、亞洲萬里通（Asia Miles）交易系統及一個網站後台資料庫。

總結而言，國泰航空系統於2014年10月首度遭駭入，資料外洩時間從2015年7月持續到2018年5月。近940萬客戶的姓名、生日、護照號碼、地址、電話、電子郵件、會員號碼等個資外洩。其中包括超過23萬及11萬名歐洲經濟區及英國公民。也有香港及台灣地區客戶受到影響。事後有12萬名客戶通報資料外洩，像是信用卡被盜刷。

去年香港政府相關調查便發現，國泰航空有多項漏洞管理、資安措施不當。像是一年才做一次漏洞掃瞄，以致於未能及時發現漏洞，有IT系統權限的遠端用戶未實施多因素驗證，資料中心搬移時也未加密資料備份檔，用戶資料分散儲存沒有統一管理，以致於無法在最快時間掌握被駭災情。

英國ICO則指出，客戶把個資交給一家公司時，期待資料會被妥善保存，不受損害或欺詐，但顯然不是如此，國泰航空基本安全措施之不足，使本案格外令人憂心，ICO認為上述多項重大缺失，突顯國泰航空的安全措施遠低於應有水準。但因事件發在GDPR上路（2018年5月）之前，故依據舊版資料保護法，判罰最高金額50萬英鎊（約1,920萬台幣）。

去年英國政府，也分別就英國航空及飯店集團萬豪國際的重大資料外洩做出處份，在GDPR上路後，兩者分別被重罰1.8億及9,900萬英鎊。