消委會網絡安全涉5大缺失

消委會電腦系統去年被黑客以勒索軟件攻擊，導致逾450人的資料外洩。個人資料私隱專員公署昨日公布事故調查報告，指事故源於消委會5項缺失，包括沒有為遠端存取資料啟用多重認證功能等。私隱專員鍾麗玲稱，消委會未有採取所有切實可行的步驟，以確保個人資料受保障，違反了私隱條例的規定，她已向消委會送達執行通知，要求於兩個月內糾正；私隱公署又建議消委會對遙距登入資訊及通訊系統使用多重身份驗證、定期進行風險評估及保安審計等，以減低被攻擊風險。

去年9月，黑客「ALPHV」利用消委會一個具管理員權限的帳戶憑證，透過虛擬私有網絡進入其網絡，並在同月19日至20日對其伺服器及端點裝置，進行勒索軟件攻擊。
包括289投訴人及162名員工等

私隱公署引述調查報告指，黑客入侵涉及的數據少於1.5GB，4個載有個人資料的檔案被未獲准許查閱，事件導致超過450人的個人資料受影響，包括289名投訴人、138名現職及24名已離職消委會員工、26名資訊科技服務供應商員工等，涉及資料包括姓名、電話號碼等。事件發生至今，私隱公署就事件收到20宗查詢及8宗投訴。

私隱公署提出多項建議，以減低資訊系統被攻擊風險，包括對遙距登入資訊及通訊系統使用多重身份驗證、設定穩健的網絡保安框架、定期對資訊系統進行風險評估及保安審計、建立重視數據安全的企業文化及建立有效培訓計劃，加強員工對資料私隱意識和能力。

另外，鍾麗玲指，消委會於2020年底疫情期間，允許員工透過VPN遠端連接消委會的網絡，實施遠程在家工作，當時有員工反對安裝額外多重認證的軟件，資訊科技部門人手亦不足，因此無為遠端登入消委會網絡的用戶，啟用多重認證功能；消委會隨後於2022年5月取消在家工作安排，仍然允許員⼯在無多重認證功能的情況下，遠端連接消委會的網絡。她又指，雖然消委會在2020年起有使用網絡安全軟件偵測及攔截網絡安全威脅，但軟件在事件中未有攔截黑客，亦未有啟動警報功能。

鍾麗玲認為，疫情後「遠程工作」或「在家工作」是新趨勢，但有關安排涉及遙距登入資訊系統，要注意網絡安全；又強調，不論大中小企業，對資訊系統保安都不應「慳錢」，特別涉及客戶個人資料，若稍有不慎，引致資料外洩事故，或得不償失。

香港資訊科技商會榮譽會長方保僑表示，如果公司現時無再作出「在家工作」安排，可直接關閉相關的網絡接口，就算員工需要遙距工作，亦須啟用多重驗證，確保安全，網絡裝置也需要定期更新。