消委會電腦系統去年9月遭黑客入侵和勒索,個人資料私隱專員公署今(2日)發表調查結果,指事故導致逾450人的個人資料遭擅取查閱,事件主因在於消委會未啟用多重認證功能,到結束在家工作安排後亦未取消遠端連接網絡的安排,以致未能核實遠端存取資料人士的身份,違反《私隱條例》規定。私隱專員鍾麗玲表示,已向消委會送達執行通知要求糾正,以防再發生類似違規情形。
涉289名投訴人 員工抗拒多重認證
公署調查發現,被擅閱個人資料的包括289名投訴人、26名資訊科技服務供應商員工、138名現職及24名已離職的消委會員工,涉及姓名、電話號碼、地址等資料。公署又發現,黑客組織取得一個具管理員權限的帳戶憑證,透過虛擬私有網絡(VPN)進入消委會網絡,遂於去年9月19日及20日對消委會伺服器及端點裝置進行勒索軟件攻擊,導致93個系統遭惡意加密、11個伺服器及端點裝置,如員工座枱、公司手提電話等遭入侵。
鍾麗玲提到,消委會在2020年底疫情期間實施在家工作安排,允許員工透過VPN遠端連接機構網絡,當時因有員工反對安裝額外多重認證的軟件,加上資訊科技部門人手不足,因此無為遠端登入消委會網絡的用戶啟用多重認證功能;消委會於2022年5月取消在家工作安排,但仍允許員工無需經多重認證功能便能遠端連接機會網絡。
指員工欠網絡安全意識等
公署指消委會未啟用多重認證功能,以致未能核實遠端存取資料人士的身份。其它4點缺失包括無妥善設定用作偵測及攔截網絡安全威脅的軟件、欠足夠保安措施禁止或防止於測試伺服器內儲存個人資料、欠全面和具體的資訊保安政策,以及保障個人資料私隱及網絡安全意識不足,例有一名員工未有於系統設定實施機構訂定的複雜密碼政策。鍾麗玲指,公署要求消委會完成7項指示,包括聘請獨立資訊保安專家去檢視保安措施,又要求制定清晰及全面的程序,禁止員工於測試伺服器中儲放資料等。
被問到現時暗網有否存在所泄資料時,她表示網絡世界難以預料,不知道黑客會何時拿出相關資料,資料如同「去咗大海」。鍾強烈建議機構一旦遇上資料外洩事故,勿應要求交贖金,因無法防止資料被第三者進一步披露,不應縱容黑客的犯法行為。
消委會:未發現資料被公開
消委會回應指,事件中整體受影響的個人資料非常有限,根據外聘的暗網監察服務商的資料,目前未發現任何受影響的資料被公開;又指他們和專家仍未能確定黑客獲得帳戶憑證的原因。
會方表示,重視公署指出的不足之處及具體建議,事後已積極行動糾正,正完善資訊科技政策和工作指引,會持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案。他們再次強烈譴責黑客在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響的人士深表歉意。
香港資訊科技商會榮譽會長方保僑表示,消委會事後有監察暗網,檢視受影響資料有否外洩,是負責任的做法。他提醒企業如在疫情後不再作出在家工作安排,便應關閉相關網絡接口,除了要求員工遙距辦事啟用多重驗證,網絡裝置亦應定期更新,儘量減低遭受攻擊的風險。@
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
