Previous Next

私隱專員公署今日(2日)發表有關消費者委員會資料外洩事故的調查結果,私隱專員鍾麗玲表示,該事件源於消委會向私隱專員公署通報資料外洩事故,其伺服器遭受到勒索軟件攻擊。該資料外洩事故導致消委會的數據遭受未獲准許的查閱,當中涉及超過450名人士的個人資料,包括投訴人、資訊科技服務供應商的員工、消委會的現職及已離職員工。

鍾麗玲表示,該資料外洩事故是由消委會以下的多項缺失所導致,包括沒有為遠端存取資料啟用多重認證功能;沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件;欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料;資訊保安政策有欠全面及具體;保障個人資料私隱及網絡安全意識不足。

私隱專員公署發表有關消費者委員會資料外洩事故的調查結果。謝宗英攝
私隱專員公署發表有關消費者委員會資料外洩事故的調查結果。謝宗英攝
私隱公署提出多項建議。謝宗英攝
私隱公署提出多項建議。謝宗英攝
鍾麗玲表示資料外洩事故是由消委會多項缺失所導致。謝宗英攝
鍾麗玲表示資料外洩事故是由消委會多項缺失所導致。謝宗英攝
私隱專員公署發表有關消費者委員會資料外洩事故的調查結果。謝宗英攝
私隱專員公署發表有關消費者委員會資料外洩事故的調查結果。謝宗英攝
消委會早前發生資料外洩事故。
消委會早前發生資料外洩事故。
消委會回應已積極採取即時行動糾正問題。消委會官網
消委會回應已積極採取即時行動糾正問題。消委會官網

提多項建議以減低資訊系統被攻擊風險

私隱專員公署提出多項建議,以減低資訊系統被攻擊的風險,包括對遙距登入資訊及通訊系統使用多重身份驗證、設定穩健的網路保安框架、定期對資訊系統進行風險評估及保安審計、建立重視數據安全的企業文化及建立有效的培訓計劃,加強員工對資料私隱的意識和能力。

鍾麗玲提到,消委會曾表示在該事件發生前有提供員工培訓及傳閱與網絡安全相關的資訊。然而,除了因人為錯誤疏忽而儲存個人資料於測試伺服器外,調查亦發現一名前資訊科技部員工沒有於系統設定時,使用消委會訂定的複雜密碼政策,令有關政策在事發時未有被貫徹實施。

鍾麗玲表示,疫情而引致「遠程工作」或「在家工作」的安排是現時新趨勢,但有關安排涉及遙距登入資訊系統,有多一重風險,需注意網絡安全,呼籲各機構考慮涉及的數據是否包含個人資料,是否敏感、數量多少,再決定是否應加大保障,例如傳輸時是否需要加密,以及設立雙重認證安排。

她強調,不論大中小企業都對資訊系統保安都不應「慳錢」,特別涉及客戶個人資料,若稍有不慎引致資料外洩事故,或得不償失。

消委會回應已積極採取即時行動糾正問題

消委會表示,一向十分重視網絡安全和採取不同措施提升系統保安。在遭黑客入侵後,消委會在委員會的指導和監察下,已採取一系列的應對行動及進一步加強系統保安措施。

就私隱專員公署指出消委會在個人資料保障方面的不足之處和提出的具體建議,消委會回應指,在事故發生後已積極採取即時行動糾正問題,當中包括為遠端存取資料啟用多重要素認證(MFA)功能、全面檢視網絡安全方案的功能及作出妥善設定,及進一步加強內部培訓以提升員工對網絡安全的意識和行為。消委會亦正完善其資訊科技政策和工作指引,同時正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力。

消委會表示,受影響的個人資料非常有限,主要涉及289名曾經向消委會遞交投訴的人士,亦包括現任和前職員的資料等。調查未能確定資料是否被下載,但根據外聘的暗網監察服務商資料,至目前為止未有發現任何受影響資料被公開。

消委會又指,該會持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案、提升個人資料管理的工作、加強內部培訓、資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。並再次強烈譴責黑客在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響的人士深表歉意。

記者:謝宗英

---

《星島申訴王》推出全新項目「區區有申訴」,並增設「我要讚佢」欄目,現誠邀市民投稿讚揚身邊好人好事,共建更有愛社區。立即「我要讚佢」︰ https://bit.ly/3uJ3yyF

緊貼最新最快新聞資訊,請立即下載星島頭條App:https://bit.ly/3Q29Vow