消委會去年9月遭黑客入侵伺服器,導致出現資料外洩事故。事隔逾7個月,私隱專員公署完成調查並在今日(2日)發表調查結果。調查指,消委會涉欠缺系統保安措施等5項缺失,導致數據遭受未獲准許的查閱。當中涉及超過450人的資料,包括投訴人、現職及已離職員工等被外洩。公署裁定消委會違反《私隱條例》,並已送達執行通知指示其糾正違反事項,以防類似情況再發生。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
私隱專員公署發表今日發表調查結果,私隱專員鍾麗玲表示,是次資料外洩事故是由消委會5項缺失導致,包括欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料,289名投訴人的個人資料,因人為錯誤或疏忽被儲存於沒有配置網絡安全軟件的測試伺服器內,亦在事故中遭受黑客攻擊。公署又表示,消委會未有為遠端存取資料啟用多重認證功能,導致黑客能利用獲取的帳戶憑證,進入消委會網絡進行勒索軟件攻擊、查閱持有的個人資料。
此外,公署指消委會沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件,導致該網絡安全軟件在偵測網絡安全威脅後,未能向消委會發送警報電郵;而消委會資訊保安政策亦欠全面,未有提供具體網絡保安框架、資訊科技保安檢視規定及程序,以供員工依循。
公署亦批評,消委會在保障個人資料私隱及網絡安全上,意識不足。鍾麗玲表示,除了因人為疏忽儲存資料於測試伺服器外,調查中亦發現一名前資訊科技部員工,沒有於系統設定實行消委會訂定的複雜密碼政策,令事發時未有做足保障實施。
今次事件發生在去年9月,消委會伺服器遭黑客ALPHV入侵,少於1.5GB的個人資料被盜及外洩,受影響人數達450人,當中包括投訴人、資訊科技服務供應商的員工、消委會的現職及已離職員工。公署已在周二(4月30日)已向消委會送達執行通知,指示糾正有關違反事項,而消委會須由通知日期起2個月內完成。
鍾麗玲又指,隨著科技進步,採用資訊及通訊科技、混合工作模式及遠端存取資料已成為新常態,便利同時亦無可避免地增加數據安全的風險。她建議使用資訊及通訊科技處理個人資料的機構,對遙距登入資訊及通訊系統使用多重身份驗證;設立穩健的網絡保安框架;定期對資訊系統進行風險評估及保安審計;建立有效的培訓計劃等。
消委會就調查結果回覆指,一向十分重視網絡安全和採取不同措施提升系統保安,在遭黑客入侵後,消委會已採取一系列的應對行動,加強系統保安措施。當中包括事故後即時採取遏制行動,恢復資訊科技系統;委託鑑證專家檢查系統,深入調查事件起因和資料是否有被盜取;委託服務商全天候監察暗網,以第一時間知悉是否有被盜取的資料遭公開等。