私隱公署查消委會資料外泄事故　指未用多重認證屬主因 (12:07)

消委會電腦系統去年9月遭黑客入侵及勒索。個人資料私隱專員公署今（2日）發布調查結果，稱事故導致逾450人的個人資料未獲准許下受查閱，調查後發現消委會在資訊保安方面有5項缺失，包括無啟用多重認證功能、無妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件等，違反《個人資料(私隱)條例》的原則。私隱專員公署認為，未有啟用多重認證功能屬導致事件發生的重要原因。公署已向消委會送達執行通知，消委會須在兩個月內證明已按公署指示糾正其違反事項。

事故中有逾450人的個人資料受影響，包括289名投訴人、26名資訊科技服務供應商員工、138名現職及24名已離職的消委會員工，涉及他們的姓名、電話號碼、地址等資料。個人資料私隱專員鍾麗玲表示，調查發現，黑客組織取得一個具管理員權限的帳戶憑證，並透過虛擬私有網絡（VPN）進入消委會的網絡，並於去年9月19日及20日對消委會伺服器及端點裝置進行勒索軟件攻擊，導致93個系統遭惡意加密、11個伺服器及端點裝置，如員工座枱、公司手提電話或外置資料儲存裝置等被入侵。

鍾麗玲說，調查後認為事故是由於5項資訊保安的缺失而引起，包括未有為遠端存取資料啟用多重認證功能，消委會於疫情期間實施在家工作政策，惟當時考慮到員工對採用多重認證功能的阻力及資訊科技部門人手不足，故未有啟用多重認證功能；即使其後取消在家工作，仍保留遠端存取資料的安排。鍾麗玲認為，由於消委會未有啟用多重認證功能，未能核實遠端存取資料人士的身分，是導致事件發生的重要原因。

增多重認證遇「員工阻力」 外泄憑證員工未解釋兼已離職

鍾解釋指，「員工阻力」在於他們抗拒安裝額外軟件。不過，她指現時在家工作安排成為新趨勢，遙距登入系統會「多一重風險」，提醒機構需小心和注意網絡安全，視乎所涉的數據或個人資料敏感程度和數量等，考慮是否加設相應保障，例如傳輸過程增設加密程序、增設雙重認證安排等。她又指，目前市面上很多雙重認證軟件無須額外安裝，而是透過電郵或短訊形式傳送一次性密碼。

公署調查發現，黑客取得的帳戶憑證屬於消委會資訊科技部門員工，但由於負責網絡安全的消委會員工和供應商員工均已離職，所以消委會未能確定有關原因。被問到公署有否權限向離職員工追究時，鍾麗玲指公署關注及私隱條例主要規管資料使用者，即管理資料收集、持有及處理人，故今次事件中公署只集中於消委會。她建議人手不足的機構可考慮外聘網絡安全專家幫助，亦稱坊間有機構推出免費服務讓企業測試自身網頁安全。

指員工網絡安全意識不足

鍾麗玲又指出，消委會未有啟用偵測及攔截網絡安全威脅軟件的警報功能，令軟件在偵測到安全威脅時未有發出電郵作警示，認為若消委會在事發前有審視軟件效能或設定，可增加發現黑客早期活動的機會。她又指，消委會將289名投訴人的個人資料錯誤地儲存於未有配置網絡安全軟件的測試伺服器內，而消委會未有書面政策去禁止有關做法；消委會的資訊保安政策亦有欠全面及具體，未有提供全面的網絡保安框架或資訊科技保安檢視規定及程序供員工依循。

鍾麗玲亦表示，發現消委會員工保障個人資料私隱及網絡安全意識不足，例如有一名員工未有於系統設定實施消委會訂定的複雜密碼政策。

私隱專員公署要求消委會完成7項指示，包括為遙距存取資料的啟用多重身分驗證功能，並定期檢視相關權限；亦要聘請獨立資訊保安專家去檢視其保安措施，定期檢視資訊系統的保安措施，又要求制定清晰及全面的程序，禁止員工於測試伺服器中儲放資料等。

被問到現時暗網有否存在所泄資料時，鍾麗玲表示「網絡世界今天沒有，不代表明天沒有，明天沒有，不代表後天沒有」，亦不知道黑客會在什麼時候拿出相關資料，資料如同「去咗大海」。她又強烈建議機構一旦遇上資料外洩事故，不要應要求交贖金，因無法有效防止資料被第三者進一步披露，亦不應縱容黑客的犯法行為。

消委會回應指，重視公署指出的不足之處及具體建議，並在事故發生後已積極採取即時行動糾正問題，正完善資訊科技政策和工作指引，會持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案。消委會亦再次強烈譴責黑客在未經授權下進入其電腦系統及取覽資料的非法行為，並對受影響的人士深表歉意。