【本报记者报道】消委会电脑系统去年9月遭黑客以勒索软件恶意入侵,勒索数十万美元赎金,个人资料私隐专员公署发表调查报告,指消委会在疫情期间实施在家工作,容许员工透过VPN(虚拟专用网络)远端连接消委会网络,但未有启用多重认证,导致逾450人资料外洩,裁定违反《私隐条例》,已发出执行通知,要求两个月内纠正,否则或会刑事检控。
消委会电脑系统去年9月遭黑客入侵7小时,个人资料私隐专员公署时隔大半年发表调查报告,指黑客去年9月4日取得具管理员权限的帐户,透过VPN即虚拟私有网络进入消委会网络恶意加密93个系统。
黑客约在一个多星期后入侵11个伺服器和端点装置,包括员工的电脑,在未经准许下查阅4个载有个人资料的档案、外置资料储存装置,盗去约1.5GB的数据,涉及逾450人的资料,当中包括289名投诉人,24名离职员工等的名字、住址、手提电话号码等。
员工在家工作未启用多重认证
个人资料私隐专员钟丽玲表示,消委会于2020年11月疫情期间为方便员工在家工作,容许员工透过VPN连接消委会网络,但未有启用多重认证核实身份;直到2022年取消在家工作安排,情况仍然持续。
钟丽玲又指,虽然消委会在2020年起有使用网络安全软件侦测及拦截网络安全威胁,但软件在事件中未有拦截黑客,亦未有启动警报功能。消委会回应公署时指,由于负责网络安全软件的员⼯及供应商员工均已离职,消委会未能确定原因,但指已修正软件的设定,在侦测威胁后向消委会发送警报电邮。
未向员工提供全面资讯保安框架
钟丽玲续说,事件部份涉及人为错误或疏忽,欠缺足够保安措施禁止于测试伺服器储存资料,导致289名投诉人的个人资料因人为因,自去年6月起储存在没有网络安全软件的测试伺服器内;亦有一名前资讯科技部门员工未有在系统设定已订明的复杂密码政策。
私隐署列举消委会在事件中有5大缺失,包括没有为远端存取资料启用多重认证功能;没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件;欠缺足够保安措施;资讯保安政策有欠全面及具体以及保障个人资料私隐及网络安全意识不足。公署就今次事件共接获20宗查询及8宗投诉,钟丽玲希望事件可起到有警示作用,特别是有关缺失均属毋须大量资源已可以弥补。
钟丽玲认为,消委会违反了 《私隐条例》第4原则中有关个人资料保安的规定,公署已向消委会发出7项执行指令,要求在2个月内、即6月29日须提交证据证明已执行,否则或会刑事检控。
消委会:未发现资料被公开
消委会回应指,事件中整体受影响的个人资料非常有限,而根据外聘的暗网监察服务商的资料,目前未有发现任何受影响的消委会资料被公开;又指专家及消委会通过不同技术及多角度进行调查,但仍未能确定黑客获得帐户凭证的原因。
消委会对私隐专员公署的建议深表重视,事后已经即时纠正,包括为远端存取资料启用多重认证,全面检视网络安全方案的功能,以及加强内部培训等。 |
您可能有兴趣:
|