消委会去年遭黑客入侵,私隐专员公署完成调查,今日(2日)召开发布会,发现消委会欠缺足够保安措施,包括未有启用多重认证等,导致超过450人资料外洩,裁定消委会违反私隐条例,要求两个月内纠正。
消委会电脑系统去年9月疑遭黑客入侵,超过450人资料被外洩,包括289名投诉人、26名资讯科技服务供应商员工,以及162名现职及离职员工。
私隐专员公署完成调查,批评消委会有5项缺失,包括没有为远端存取资料启用多重认证功能,亦没妥善设定拦截网络安全威胁的软件,同时欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料,导致289名投诉人的资料被洩露。
个人资料私隐专员锺丽玲称,机构不应该将真实个人资料储存在测试的伺服器内,如果消委会在事发前已经制定相关政策,禁止或防止员工在这些测试伺服器内储存个人资料,明确告诉员工相关的政策,以及制定程序定期审视、测试伺服器内的资料,就可以减低人为错误或疏忽的风险。
消委会曾表示在该事件发生前有提供员工培训及传阅与网络安全相关的资讯。然而,除了因人为错误疏忽而储存个人资料于测试伺服器外,调查亦发现一名前资讯科技部员工没有于系统设定时,使用消委会订定的複杂密码政策,令有关政策在事发时未有被贯彻实施。
锺丽玲续指,发展的“远程工作”是现时新趋势,但有关安排涉及遥距登入资讯系统,有多一重风险,需注意网络安全,呼吁各机构考虑涉及的数据是否包含个人资料、是否敏感、数量多少,再决定是否应加大保障,例如传输时是否需要加密,以及设立双重认证安排。
私隐公署裁定消委会违反私隐条例,已发出执行通知,要求两个月内纠正问题,包括聘请资讯安全专家加强网络保安措施等。如果消费者委员会违反执行通知,就会变成刑事罪行,公署会依循刑事检控跟进事件。
消委会回应指,重视公署建议,将持续提升保安系统以及数据安全。消委会强调,受影响的个人资料非常有限,主要涉及289名曾经向消委会递交投诉的人士,亦包括现任和前职员的资料,并不涉及信用卡、银行账户及财务资料,调查未能确定资料是否被下载。但根据外聘的暗网监察服务商资料,至目前为止未有发现任何受影响资料被公开。
[复制链接]
发表于 2024-5-2 20:37:56
