個人資料私隱專員公署(私隱專員公署)完成消費者委員會(消委會)去年9月20日電腦系統遭入侵導致資料外洩事故的相關調查。私隱專員鍾麗玲今日(2日)表示,事故是由於消委會的缺失所致,沒有採取所有切實可行的步驟以確保個人資料受保障,違反私隱條例規定,已經向消委會送達執行通知,指示消委會糾正及防止類似違規情況再發生。
私隱公署提多項建議 減低資訊系統被攻擊風險
鍾麗玲指出,消委會的缺失包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網絡安全威脅的軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體,以及保障個人資料私隱及網絡安全意識不足。
鍾麗玲續指,私隱專員公署提出多項建議,以減低資訊系統被攻擊的風險,包括對遙距登入資訊及通訊系統使用多重身份驗證、設定穩健的網絡保安框架、定期對資訊系統進行風險評估及保安審計、建立重視數據安全的企業文化及建立有效的培訓計劃,加強員工對資料私隱的意識和能力。
私隱專員公署表示,消委會資料外洩事故涉及超過450人,包括投訴人、資訊科技服務供應商員工,以及消委會現職和前員工的個人資料。消委會去年9月曾交代,電腦系統遭黑客入侵,被勒索50萬至70萬美元贖金,現職員工、前員工、家屬、選擇月刊訂購戶及投訴人等的資料可能外洩。
消委會五舉措加強網絡保安
消委會表示,過去半年一直提供大量相關資料和全力配合有關方面的調查工作。在遭黑客入侵後,消委會在委員會的指導和監察下,採取一系列的應對行動及進一步加強系統保安措施:第一,在發現事故後即時採取遏制行動,以保護並恢復資訊科技系統;第二,在48小時內舉行新聞發布會主動公布事件和呼籲所有可能受影響人士要提高警覺;第三,委託鑑證專家檢查系統,並根據專家意見作出遏制和強化行動,加強資訊科技保安措施以防止黑客再次入侵;第四,向受影響人士發出個別通知,及向不受影響的人士發出更新通知以釋疑慮;第五,委託服務商全天候監察暗網,以便第一時間知悉是否有被盜取的資料被公開。
就私隱專員公署指出消委會在個人資料保障方面的不足之處和提出的具體建議,消委會深表重視,指在事故發生後已積極採取即時行動糾正問題,當中包括為遠端存取資料啟用多重要素認證功能、全面檢視網絡安全方案的功能及作出妥善設定,及進一步加強內部培訓以提升員工對網絡安全的意識和行為。消委會亦正完善其資訊科技政策和工作指引,同時正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力。
消委會再次強烈譴責黑客在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響的人士深表歉意。(資料圖)