网络攻击事件频现 亚洲监管部门加强网络防御

【博闻社】去年11月份，电子学习产品生产商伟易达集团(VTech Holdings Ltd., 0303.HK)发生了客户资料外泄事件，其在线学习数据库中超过1,100万名儿童和成人的姓名和生日资料外泄，但直到九天后一名记者向伟易达发送电子邮件询问此事，该公司才对外披露这起事件。

华尔街日报引述伟易达董事长黄子欣(Allan Wong)说，公司花了一些时间进行了深度调查，看看是否存在任何不合规的事情。

报道指出，伟易达事件凸显出一家公司在遭受网络攻击时是多么措手不及，也凸显出企业在收集并存储数百万在线用户个人资料时所涉及的风险。

网络安全专家称，在亚洲，这类事件带来的损失尤其严重，因为亚洲国家在网络安全方面的监管和披露机制落后于西方。现在，考虑到企业为网络攻击事件付出的代价越来越大，澳大利亚、香港和新加坡等一些亚洲市场的监管部门正在采取行动，打算收紧个人数据保护的指导原则，并将加大隐私法规的执行力度。

普华永道(PriceWaterhouseCoopers)驻香港的风险保障合伙人Kok Tin Gan称，人们认为黑客攻击事件只会发生在西方，亚洲是一个安全的地方。他表示，在亚洲部分地区，网络攻击事件并不对外披露，因为并没有这方面的要求；由于缺乏风险意识，企业在网络安全方面投入过低。

据报道，韩国等部分亚洲国家要求企业在用户个人资料外泄时通知客户，日本去年则设立了一个新的政府实体，帮助应对网络攻击事件。在亚洲其他地方，用户通常是被警方或媒体告知其个人信息遭泄露。

在伟易达总部所在地香港，当地的数据隐私监管部门称，在发生数据泄露时没有法律规定要求相关机构上报。

总部位于伦敦的咨询机构致同会计师事务所(Grant Thornton)的数据显示，在截至2015年9月底的12个月中，网络攻击导致亚太企业收入损失估计达813亿美元，相比之下，同期欧洲和美国企业分别损失623亿美元和613亿美元。

截至3月底的财年伟易达净利润下滑8.4%，至1.814亿美元，原因之一就是上述数据泄露事件。黄子欣说，若不是因为数据泄露事件，公司销售状况会更好一些。

伟易达事件之后全球还发生了几起广受关注的数据泄露事件，包括Twitter Inc. (TWTR)和领英(LinkedIn Corp., LNKD)用户密码以及环球银行间金融通信系统(Swift)访问代码遭窃等。

此外报道还说，澳大利亚正在努力加强个人数据保护，并提出了一个议案，要求企业在遭受严重数据泄露时进行报告。新加坡和香港的隐私安全监管机构发布了新的具体规定，指导公司如何更好地保护其用户信息以及鼓励公司遭遇攻击时主动报告。

新加坡还计划于明年出台一项全面的网络安全法案，对如何确保信息技术安全以及如何报告相关问题进行规范。该国的隐私监管机构在今年4月处罚了四家公司并向另外七家公司发出警告，因这些公司未能对个人信息进行足够的保护，导致多达31.7万用户的数据被泄露。

上述举动使香港、新加坡和澳大利亚一类的中心在立法方面更接近美国和欧洲，美国和欧洲已通过了公司应如何处理个人信息以及披露网络盗窃案的相关立法。