【本報記者報道】消委會電腦系統去年9月遭黑客以勒索軟件惡意入侵,勒索數十萬美元贖金,個人資料私隱專員公署發表調查報告,指消委會在疫情期間實施在家工作,容許員工透過VPN(虛擬專用網絡)遠端連接消委會網絡,但未有啟用多重認證,導致逾450人資料外洩,裁定違反《私隱條例》,已發出執行通知,要求兩個月內糾正,否則或會刑事檢控。
消委會電腦系統去年9月遭黑客入侵7小時,個人資料私隱專員公署時隔大半年發表調查報告,指黑客去年9月4日取得具管理員權限的帳戶,透過VPN即虛擬私有網絡進入消委會網絡惡意加密93個系統。
黑客約在一個多星期後入侵11個伺服器和端點裝置,包括員工的電腦,在未經准許下查閱4個載有個人資料的檔案、外置資料儲存裝置,盜去約1.5GB的數據,涉及逾450人的資料,當中包括289名投訴人,24名離職員工等的名字、住址、手提電話號碼等。
員工在家工作未啟用多重認證
個人資料私隱專員鍾麗玲表示,消委會於2020年11月疫情期間為方便員工在家工作,容許員工透過VPN連接消委會網絡,但未有啟用多重認證核實身份;直到2022年取消在家工作安排,情況仍然持續。
鍾麗玲又指,雖然消委會在2020年起有使用網絡安全軟件偵測及攔截網絡安全威脅,但軟件在事件中未有攔截黑客,亦未有啟動警報功能。消委會回應公署時指,由於負責網絡安全軟件的員⼯及供應商員工均已離職,消委會未能確定原因,但指已修正軟件的設定,在偵測威脅後向消委會發送警報電郵。
未向員工提供全面資訊保安框架
鍾麗玲續說,事件部份涉及人為錯誤或疏忽,欠缺足夠保安措施禁止於測試伺服器儲存資料,導致289名投訴人的個人資料因人為因,自去年6月起儲存在沒有網絡安全軟件的測試伺服器內;亦有一名前資訊科技部門員工未有在系統設定已訂明的複雜密碼政策。
私隱署列舉消委會在事件中有5大缺失,包括沒有為遠端存取資料啟用多重認證功能;沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件;欠缺足夠保安措施;資訊保安政策有欠全面及具體以及保障個人資料私隱及網絡安全意識不足。公署就今次事件共接獲20宗查詢及8宗投訴,鍾麗玲希望事件可起到有警示作用,特別是有關缺失均屬毋須大量資源已可以彌補。
鍾麗玲認為,消委會違反了 《私隱條例》第4原則中有關個人資料保安的規定,公署已向消委會發出7項執行指令,要求在2個月內、即6月29日須提交證據證明已執行,否則或會刑事檢控。
消委會:未發現資料被公開
消委會回應指,事件中整體受影響的個人資料非常有限,而根據外聘的暗網監察服務商的資料,目前未有發現任何受影響的消委會資料被公開;又指專家及消委會通過不同技術及多角度進行調查,但仍未能確定黑客獲得帳戶憑證的原因。
消委會對私隱專員公署的建議深表重視,事後已經即時糾正,包括為遠端存取資料啟用多重認證,全面檢視網絡安全方案的功能,以及加強內部培訓等。 |
搜尋新聞
