個(gè)人資料私隱專員公署(私隱專員公署)完成消費(fèi)者委員會(huì)(消委會(huì))去年9月20日電腦系統(tǒng)遭入侵導(dǎo)致資料外洩事故的相關(guān)調(diào)查。私隱專員鍾麗玲今日(2日)表示,事故是由於消委會(huì)的缺失所致,沒(méi)有採(cǎi)取所有切實(shí)可行的步驟以確保個(gè)人資料受保障,違反私隱條例規(guī)定,已經(jīng)向消委會(huì)送達(dá)執(zhí)行通知,指示消委會(huì)糾正及防止類似違規(guī)情況再發(fā)生。
私隱公署提多項(xiàng)建議 減低資訊系統(tǒng)被攻擊風(fēng)險(xiǎn)
鍾麗玲指出,消委會(huì)的缺失包括沒(méi)有為遠(yuǎn)端存取資料啟用多重認(rèn)證功能、沒(méi)有妥善設(shè)定用作偵測(cè)及攔截網(wǎng)絡(luò)安全威脅的軟件、欠缺足夠保安措施禁止或防止於測(cè)試伺服器內(nèi)儲(chǔ)存?zhèn)€人資料、資訊保安政策有欠全面及具體,以及保障個(gè)人資料私隱及網(wǎng)絡(luò)安全意識(shí)不足。
鍾麗玲續(xù)指,私隱專員公署提出多項(xiàng)建議,以減低資訊系統(tǒng)被攻擊的風(fēng)險(xiǎn),包括對(duì)遙距登入資訊及通訊系統(tǒng)使用多重身份驗(yàn)證、設(shè)定穩(wěn)健的網(wǎng)絡(luò)保安框架、定期對(duì)資訊系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估及保安審計(jì)、建立重視數(shù)據(jù)安全的企業(yè)文化及建立有效的培訓(xùn)計(jì)劃,加強(qiáng)員工對(duì)資料私隱的意識(shí)和能力。
私隱專員公署表示,消委會(huì)資料外洩事故涉及超過(guò)450人,包括投訴人、資訊科技服務(wù)供應(yīng)商員工,以及消委會(huì)現(xiàn)職和前員工的個(gè)人資料。消委會(huì)去年9月曾交代,電腦系統(tǒng)遭黑客入侵,被勒索50萬(wàn)至70萬(wàn)美元贖金,現(xiàn)職員工、前員工、家屬、選擇月刊訂購(gòu)戶及投訴人等的資料可能外洩。
消委會(huì)五舉措加強(qiáng)網(wǎng)絡(luò)保安
消委會(huì)表示,過(guò)去半年一直提供大量相關(guān)資料和全力配合有關(guān)方面的調(diào)查工作。在遭黑客入侵後,消委會(huì)在委員會(huì)的指導(dǎo)和監(jiān)察下,採(cǎi)取一系列的應(yīng)對(duì)行動(dòng)及進(jìn)一步加強(qiáng)系統(tǒng)保安措施:第一,在發(fā)現(xiàn)事故後即時(shí)採(cǎi)取遏制行動(dòng),以保護(hù)並恢復(fù)資訊科技系統(tǒng);第二,在48小時(shí)內(nèi)舉行新聞發(fā)布會(huì)主動(dòng)公布事件和呼籲所有可能受影響人士要提高警覺(jué);第三,委託鑑證專家檢查系統(tǒng),並根據(jù)專家意見(jiàn)作出遏制和強(qiáng)化行動(dòng),加強(qiáng)資訊科技保安措施以防止黑客再次入侵;第四,向受影響人士發(fā)出個(gè)別通知,及向不受影響的人士發(fā)出更新通知以釋疑慮;第五,委託服務(wù)商全天候監(jiān)察暗網(wǎng),以便第一時(shí)間知悉是否有被盜取的資料被公開(kāi)。
就私隱專員公署指出消委會(huì)在個(gè)人資料保障方面的不足之處和提出的具體建議,消委會(huì)深表重視,指在事故發(fā)生後已積極採(cǎi)取即時(shí)行動(dòng)糾正問(wèn)題,當(dāng)中包括為遠(yuǎn)端存取資料啟用多重要素認(rèn)證功能、全面檢視網(wǎng)絡(luò)安全方案的功能及作出妥善設(shè)定,及進(jìn)一步加強(qiáng)內(nèi)部培訓(xùn)以提升員工對(duì)網(wǎng)絡(luò)安全的意識(shí)和行為。消委會(huì)亦正完善其資訊科技政策和工作指引,同時(shí)正委託威脅偵測(cè)與應(yīng)變服務(wù)供應(yīng)商,以加強(qiáng)抵禦網(wǎng)絡(luò)保安威脅的能力。
消委會(huì)再次強(qiáng)烈譴責(zé)黑客在未經(jīng)授權(quán)下進(jìn)入其電腦系統(tǒng)及取覽資料的非法行為,並對(duì)受影響的人士深表歉意。(資料圖)