私隱公署：在家工作涉及遙距登入 機構要加強加密保障

鍾麗玲表示，在家工作是新常態，機構必須注意網絡安全，尤其因為涉及遙距登入，要考慮加強加密保障。

私隱專員鍾麗玲。資料圖片(圖片來源:星島日報)

消委會電腦系統去年被黑客以勒索軟件攻擊，導致部分系統受破壞，勒索數十萬美元贖金。個人資料私隱專員公署完成調查事件，認為消委會有數項缺失，導致超過450人的資料外洩，違反私隱條例規定，已指示消委會糾正及防止類似情況再發生，消委會要在兩個月內證明完成有關指示。

調查顯示，有黑客組織取得消委會一個有管理員權限的帳戶憑證，透過虛擬私有網絡（VPN）進入消委會的網絡，再以勒索軟件攻擊伺服器，導致93個系統遭到惡意加密，伺服器及員工電腦等端點裝置被入侵。

私隱專員鍾麗玲指出，疫情期間消委會安排員工「在家工作」，允許員工遠端連接網絡，而未有啟用多重認證功能是導致事件的重要原因，若果消委會有設定多重認證，核實帳戶的用戶身份，相信可以阻止黑客進入系統，避免隨後的勒索攻擊。

鍾麗玲表示，在家工作是新常態，機構必須注意網絡安全，尤其因為涉及遙距登入，要考慮加強加密保障。她說，市面上有很多雙重認證的軟件，設定簡單，安全性很高。

公署的調查又發現，消委會負責網絡安全的員工離職後，沒有啟動偵測及攔截網絡威脅的警報設定，導致系統偵測到網絡安全威脅後未有發送警報電郵；一名前資訊科技部員工亦沒有按政策規定，於系統設定複雜密碼。

私隱專員鍾麗玲表示，事故是由於消委會的缺失所致，沒有採取所有切實可行的步驟以確保個人資料受保障，違反了私隱條例的規定。

資料圖片

個人資料私隱專員公署完成有關消委會資料外洩事故的調查，私隱專員鍾麗玲表示，事故是由於消委會的缺失所致，沒有採取所有切實可行的步驟以確保個人資料受保障，違反了私隱條例的規定。她已向消委會送達執行通知，指示消委會糾正及防止類似違規情況再發生。

鍾麗玲指出，消委會的缺失包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網路安全威脅的軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體，以及保障個人資料私隱及網絡安全意識不足。

資料圖片(圖片來源:星島日報)

私隱專員公署提出多項建議，以減低資訊系統被攻擊的風險，包括對遙距登入資訊及通訊系統使用多重身份驗證、設定穩健的網路保安框架、定期對資訊系統進行風險評估及保安審計、建立重視數據安全的企業文化及建立有效的培訓計劃，加強員工對資料私隱的意識和能力。

公署說，消委會資料外洩事故涉及超過450人，包括投訴人、資訊科技服務供應商員工，以及消委會現職和前員工的個人資料。消委會去年9月曾交代，電腦系統遭黑客入侵，被勒索50萬至70萬美元贖金，現職員工、前員工、家屬、《選擇》月刊訂購戶及投訴人等的資料可能外洩。