【點新聞報道】消委會去年遭黑客入侵,私隱專員公署完成調查,今日(2日)召開發布會,發現消委會欠缺足夠保安措施,包括未有啟用多重認證等,導致超過450人資料外洩,裁定消委會違反私隱條例,要求兩個月內糾正。
消委會電腦系統去年9月疑遭黑客入侵,超過450人資料被外洩,包括289名投訴人、26名資訊科技服務供應商員工,以及162名現職及離職員工。
私隱專員公署完成調查,批評消委會有5項缺失,包括沒有為遠端存取資料啟用多重認證功能,亦沒妥善設定攔截網絡安全威脅的軟件,同時欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料,導致289名投訴人的資料被洩露。
個人資料私隱專員鍾麗玲稱,機構不應該將真實個人資料儲存在測試的伺服器內,如果消委會在事發前已經制定相關政策,禁止或防止員工在這些測試伺服器內儲存個人資料,明確告訴員工相關的政策,以及制定程序定期審視、測試伺服器內的資料,就可以減低人為錯誤或疏忽的風險。
消委會曾表示在該事件發生前有提供員工培訓及傳閱與網絡安全相關的資訊。然而,除了因人為錯誤疏忽而儲存個人資料於測試伺服器外,調查亦發現一名前資訊科技部員工沒有於系統設定時,使用消委會訂定的複雜密碼政策,令有關政策在事發時未有被貫徹實施。
鍾麗玲續指,因疫情而發展的「遠程工作」是現時新趨勢,但有關安排涉及遙距登入資訊系統,有多一重風險,需注意網絡安全,呼籲各機構考慮涉及的數據是否包含個人資料、是否敏感、數量多少,再決定是否應加大保障,例如傳輸時是否需要加密,以及設立雙重認證安排。
私隱公署裁定消委會違反私隱條例,已發出執行通知,要求兩個月內糾正問題,包括聘請資訊安全專家加強網絡保安措施等。如果消費者委員會違反執行通知,就會變成刑事罪行,公署會依循刑事檢控跟進事件。
消委會回應指,重視公署建議,將持續提升保安系統以及數據安全。消委會強調,受影響的個人資料非常有限,主要涉及289名曾經向消委會遞交投訴的人士,亦包括現任和前職員的資料,並不涉及信用卡、銀行賬戶及財務資料,調查未能確定資料是否被下載。但根據外聘的暗網監察服務商資料,至目前為止未有發現任何受影響資料被公開。
(點新聞記者周傾芫報道)
相關報道: