私隐专员公署今日(2日)发表有关消费者委员会资料外泄事故的调查结果,私隐专员钟丽龄表示,该事件源于消委会向私隐专员公署通报资料外泄事故,其伺服器遭受到勒索软件攻击。该资料外泄事故导致消委会的数据遭受未获准许的查阅,当中涉及超过450名人士的个人资料,包括投诉人、资讯科技服务供应商的员工、消委会的现职及已离职员工。
▲钟丽龄表示资料外洩事故是由消委会多项缺失所导致。谢宗英摄
▲私隐公署提出多项建议。谢宗英摄
钟丽龄表示,该资料外泄事故是由消委会以下的多项缺失所导致,包括没有为远端存取资料启用多重认证功能;没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件;欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料;资讯保安政策有欠全面及具体;保障个人资料私隐及网络安全意识不足。
提多项建议以减低资讯系统被攻击风险
私隐专员公署提出多项建议,以减低资讯系统被攻击的风险,包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网路保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效的培训计划,加强员工对资料私隐的意识和能力。
钟丽龄提到,消委会曾表示在该事件发生前有提供员工培训及传阅与网络安全相关的资讯。然而,除了因人为错误疏忽而储存个人资料于测试伺服器外,调查亦发现一名前资讯科技部员工没有于系统设定时,使用消委会订定的複杂密码政策,令有关政策在事发时未有被贯彻实施。
消委会回应已积极采取即时行动纠正问题
消委会表示,一向十分重视网络安全和采取不同措施提升系统保安。在遭黑客入侵后,消委会在委员会的指导和监察下,已采取一系列的应对行动及进一步加强系统保安措施。
就私隐专员公署指出消委会在个人资料保障方面的不足之处和提出的具体建议,消委会回应指,在事故发生后已积极采取即时行动纠正问题,当中包括为远端存取资料启用多重要素认证(MFA)功能、全面检视网络安全方案的功能及作出妥善设定,及进一步加强内部培训以提升员工对网络安全的意识和行为。消委会亦正完善其资讯科技政策和工作指引,同时正委托威胁侦测与应变服务供应商,以加强抵御网络保安威胁的能力。
消委会又指,该会持续提升资讯系统保安系统及数据安全、采取与时并进的保安技术及方案、提升个人资料管理的工作、加强内部培训、资料管理政策及指引,并定期进行测试和检讨以提升网络系统的管治水平。并再次强烈谴责黑客在未经授权下进入其电脑系统及取览资料的非法行为,并对受影响的人士深表歉意。
记者:谢宗英
以上内容归星岛新闻集团所有,未经许可不得擅自转载引用