消委会遭黑客入侵 逾450人资料外泄 私隐公署调查：网络安全意识不足

私隐专员公署今日（2日）发表有关消费者委员会资料外泄事故的调查结果，私隐专员锺丽玲表示，该事件源于消委会向私隐专员公署通报资料外泄事故，其伺服器遭受到勒索软件攻击。该资料外泄事故导致消委会的数据遭受未获准许的查阅，当中涉及超过450名人士的个人资料，包括投诉人、资讯科技服务供应商的员工、消委会的现职及已离职员工。

锺丽玲表示，该资料外泄事故是由消委会以下的多项缺失所导致，包括没有为远端存取资料启用多重认证功能；没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件；欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料；资讯保安政策有欠全面及具体；保障个人资料私隐及网络安全意识不足。

私隐专员公署发表有关消费者委员会资料外泄事故的调查结果。谢宗英摄

私隐公署提出多项建议。谢宗英摄

锺丽玲表示资料外泄事故是由消委会多项缺失所导致。谢宗英摄

私隐专员公署发表有关消费者委员会资料外泄事故的调查结果。谢宗英摄

消委会早前发生资料外泄事故。

消委会回应已积极采取即时行动纠正问题。消委会官网

提多项建议以减低资讯系统被攻击风险

私隐专员公署提出多项建议，以减低资讯系统被攻击的风险，包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网路保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效的培训计划，加强员工对资料私隐的意识和能力。

锺丽玲提到，消委会曾表示在该事件发生前有提供员工培训及传阅与网络安全相关的资讯。然而，除了因人为错误疏忽而储存个人资料于测试伺服器外，调查亦发现一名前资讯科技部员工没有于系统设定时，使用消委会订定的复杂密码政策，令有关政策在事发时未有被贯彻实施。

锺丽玲表示，疫情而引致「远程工作」或「在家工作」的安排是现时新趋势，但有关安排涉及遥距登入资讯系统，有多一重风险，需注意网络安全，呼吁各机构考虑涉及的数据是否包含个人资料，是否敏感、数量多少，再决定是否应加大保障，例如传输时是否需要加密，以及设立双重认证安排。

她强调，不论大中小企业都对资讯系统保安都不应「悭钱」，特别涉及客户个人资料，若稍有不慎引致资料外泄事故，或得不偿失。

消委会回应已积极采取即时行动纠正问题

消委会表示，一向十分重视网络安全和采取不同措施提升系统保安。在遭黑客入侵后，消委会在委员会的指导和监察下，已采取一系列的应对行动及进一步加强系统保安措施。

就私隐专员公署指出消委会在个人资料保障方面的不足之处和提出的具体建议，消委会回应指，在事故发生后已积极采取即时行动纠正问题，当中包括为远端存取资料启用多重要素认证（MFA）功能、全面检视网络安全方案的功能及作出妥善设定，及进一步加强内部培训以提升员工对网络安全的意识和行为。消委会亦正完善其资讯科技政策和工作指引，同时正委托威胁侦测与应变服务供应商，以加强抵御网络保安威胁的能力。

消委会表示，受影响的个人资料非常有限，主要涉及289名曾经向消委会递交投诉的人士，亦包括现任和前职员的资料等。调查未能确定资料是否被下载，但根据外聘的暗网监察服务商资料，至目前为止未有发现任何受影响资料被公开。

消委会又指，该会持续提升资讯系统保安系统及数据安全、采取与时并进的保安技术及方案、提升个人资料管理的工作、加强内部培训、资料管理政策及指引，并定期进行测试和检讨以提升网络系统的管治水平。并再次强烈谴责黑客在未经授权下进入其电脑系统及取览资料的非法行为，并对受影响的人士深表歉意。

记者：谢宗英

---

《星岛申诉王》推出全新项目「区区有申诉」，并增设「我要赞佢」栏目，现诚邀市民投稿赞扬身边好人好事，共建更有爱社区。立即「我要赞佢」︰ https://bit.ly/3uJ3yyF

紧贴最新最快新闻资讯，请立即下载星岛头条App：https://bit.ly/3Q29Vow