私隱公署斥消委會五項缺失致去年資料外洩

2/5/2024 11:30

        消委會資訊系統去年9月遭勒索軟件攻擊, 超過450人資料外洩. 私隱專員公署發表調查報告, 認為事件是由五項缺失所致, 批評消委會未有採取所有切實可行的步驟, 確保涉事的個人資料受到保障, 違反《私隱條例》規定.
        報告指, 消委會在疫期間實施在家工作安排, 允許員工透過虛擬私有網絡(VPN), 遠端連接消委會的網絡, 但未有就存取資料啟用多重認證功能, 以致未能阻止黑客組織, 利用具管理員權限的帳戶憑證進入消委會的網絡, 是導致事件的主要原因.
        報告又批評, 消委會沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件; 欠缺足夠保安措施禁止或防止在測試伺服器內儲存個人資料; 資訊保安政策有欠全面及具體; 以及保障個人資料私隱及網絡安全意識不足.