消委会网络安全涉5大缺失

消委会电脑系统去年被黑客以勒索软件攻击，导致逾450人的资料外泄。个人资料私隐专员公署昨日公布事故调查报告，指事故源于消委会5项缺失，包括没有为远端存取资料启用多重认证功能等。私隐专员锺丽玲称，消委会未有采取所有切实可行的步骤，以确保个人资料受保障，违反了私隐条例的规定，她已向消委会送达执行通知，要求于两个月内纠正；私隐公署又建议消委会对遥距登入资讯及通讯系统使用多重身份验证、定期进行风险评估及保安审计等，以减低被攻击风险。

去年9月，黑客「ALPHV」利用消委会一个具管理员权限的帐户凭证，透过虚拟私有网络进入其网络，并在同月19日至20日对其伺服器及端点装置，进行勒索软件攻击。
包括289投诉人及162名员工等

私隐公署引述调查报告指，黑客入侵涉及的数据少于1.5GB，4个载有个人资料的档案被未获准许查阅，事件导致超过450人的个人资料受影响，包括289名投诉人、138名现职及24名已离职消委会员工、26名资讯科技服务供应商员工等，涉及资料包括姓名、电话号码等。事件发生至今，私隐公署就事件收到20宗查询及8宗投诉。

私隐公署提出多项建议，以减低资讯系统被攻击风险，包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网络保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效培训计划，加强员工对资料私隐意识和能力。

另外，锺丽玲指，消委会于2020年底疫情期间，允许员工透过VPN远端连接消委会的网络，实施远程在家工作，当时有员工反对安装额外多重认证的软件，资讯科技部门人手亦不足，因此无为远端登入消委会网络的用户，启用多重认证功能；消委会随后于2022年5月取消在家工作安排，仍然允许员⼯在无多重认证功能的情况下，远端连接消委会的网络。她又指，虽然消委会在2020年起有使用网络安全软件侦测及拦截网络安全威胁，但软件在事件中未有拦截黑客，亦未有启动警报功能。

锺丽玲认为，疫情后「远程工作」或「在家工作」是新趋势，但有关安排涉及遥距登入资讯系统，要注意网络安全；又强调，不论大中小企业，对资讯系统保安都不应「悭钱」，特别涉及客户个人资料，若稍有不慎，引致资料外泄事故，或得不偿失。

香港资讯科技商会荣誉会长方保侨表示，如果公司现时无再作出「在家工作」安排，可直接关闭相关的网络接口，就算员工需要遥距工作，亦须启用多重验证，确保安全，网络装置也需要定期更新。