【明報專訊】消費者委員會電腦系統去年9月遭黑客入侵及勒索。個人資料私隱專員公署昨發布調查結果,稱事故導致逾450人的個人資料未獲准許下受查閱,調查後發現消委會在資訊保安方面有5項缺失,其中無啟用多重認證功能是事件的重要原因。公署稱消委會違反《個人資料(私隱)條例》,已送達執行通知,兩個月內須按指示糾正。
消委稱持續提升數據安全
消委會回應稱,重視公署指出的不足之處及具體建議,該會事發後已積極採取即時行動糾正,正完善資訊科技政策和工作指引,會持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案。消委會再次強烈譴責黑客在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響者深表歉意。
私隱專員鍾麗玲昨交代調查,稱黑客組織「ALPHV」去年9月4日取得一個具管理員權限的帳戶憑證,透過虛擬私有網絡(VPN)進入消委會網絡,同月19至20日以勒索軟件攻擊該會伺服器及端點裝置,該會21日向公署通報事件。
涉逾450人資料 包括員工投訴人
鍾麗玲稱事故中有93個系統遭惡意加密、11個伺服器及端點裝置如員工座枱、公司手提電話或外置資料儲存裝置等被入侵;逾450人個人資料受影響,包括289名投訴人、26名資訊科技服務供應商員工、138名消委會現職及24名離職員工,涉及姓名、電話號碼、地址等。
「員工阻力」在拒裝額外軟件
鍾麗玲說,調查後認為事故源於5項資訊保安缺失(見表),包括未有為遠端存取資料啟用多重認證功能,消委會於新冠疫情期間實施在家工作政策,惟當時考慮到員工對採用多重認證功能的阻力及資訊科技部門人手不足,未有啟用多重認證;即使其後取消在家工作,仍保留遠端存取資料安排。鍾解釋,「員工阻力」在於他們抗拒安裝額外軟件,她認為因消委會未啟用多重認證,未能核實遠端存取資料者身分,是事件的重要原因。
調查又稱,消委會其後發現事件中網絡安全軟件未能攔截黑客活動,亦未啟動警報功能,最終未能在偵測到網絡安全威脅後向消委會發出警報電郵。調查指出,負責該網絡安全軟件的消委會員工及供應商員工均已離職,消委會未能確定有關原因。鍾麗玲說,該會若事前有審視軟件效能或設定,可增加發現黑客早期活動的機率。
安全軟件未阻黑客未啓警報
消委:負責人離職未知原因
公署要求消委會兩個月內提供文件證明已完成7項指示,包括為遙距存取資料的系統實施多重身分驗證,並定期檢視權限;聘請獨立資訊保安專家檢視保安措施;定期檢視資訊系統保安措施;制定清晰及全面的程序禁止員工於測試伺服器儲放個人資料;以及加強數據安全及資料保護的培訓等。