安全措施不足導致資料外泄 兩組織被罰款 | 聯合早報

吉寶訊通和新加坡醫學專科學院因為沒有采取妥善的安全措施，導致個人資料外泄，分別被個人資料保護委員會開罰12萬元和9000元。

個人資料保護委員會於上星期五（8月2日）在網站上公佈對吉寶訊通（Keppel Telecommunications & Transportation）和新加坡醫學專科學院（Academy of Medicine Singapore）的裁決。

吉寶訊通逾2萬用户信息面臨外泄威脅

根據判決書，吉寶訊通與旗下物流子公司Geodis Logistics於2022年10月向委員會通報伺服器遭非法入侵，導致員工、前員工、董事和股東的個人數據外泄。

吉寶訊通在同年7月脱售該子公司，在此之前雙方共用伺服器。經過調查，委員會發現吉寶訊通因為將資料庫完全從舊伺服器轉移至雲端儲存，間接導致了資料泄露。

公司的IT部門並沒有提醒職員在轉移資料後從舊的伺服器刪除個人資料。不僅如此，公司也繼續使用舊伺服器，而非按照慣例停止使用，讓入侵者有機可乘。

延伸閲讀

[新大輔導中心被指泄露學生隱私 校方展開調查

](https://www.bdggg.com/2024/zaobao/news_2024_07_09_693368) [暗網出現兜售本地居民資料貼文

](https://www.bdggg.com/2024/zaobao/news_2024_07_08_693216) 共有超過2萬名用户的信息因此面臨外泄的威脅，當中可能有超過7000名用户的信息實際落入不法之徒手中。

醫學院遭勒索軟件攻擊 6000人個資泄露

新加坡專科醫學院則是於2023年7月向委員會通報數據外泄的情況，起因是伺服器遭遇勒索軟件的攻擊。

判決書透露，醫學院職員於2023年7月13日發現網絡連接異常，醫學院在接到通報後就立刻暫停使用伺服器並展開調查。

儘管如此，還是有6000人的個人資料外泄，當中包括超過1000人的信用卡信息。這些個資甚至還被放到暗網上。

由於新加坡專科醫學院系統中存在安全隱患，間接導致了資料外泄，因此除了被委員會被處以罰款，醫學院也被委員會要求進行網絡安全審計和糾正這些漏洞。

醫學院須在60天內，即9月30日之前，向委員會通報審計和糾正工作，當中包括考慮額外設立防火牆、分開個資的儲存空間、加強個資的加密性等。

我國從2013年起開始實施個人資料保護法令（Personal Data Protection Act），個人資料保護委員會也於同年成立，至今已經針對超過250起資料外泄事件展開調查。