私隱公署指消委會無用多重認證致黑客入侵

2/5/2024 11:47

        消委會資訊系統去年9月遭勒索軟件攻擊, 超過450人資料外洩. 私隱專員公署發表調查報告, 批評消委會未有就保障個人資料, 採取切實可行的步驟, 事件由五項缺失所致, 包括沒有為遠端存取資料啟用多重認證功能、 沒有妥善設定網絡安全軟件、 資訊保安政策有欠全面, 以及保障資料及網絡安全意識不足.
        報告指, 消委會在疫情期間實施在家工作安排, 允許員工遠端連接消委會的網絡, 但沒有就存取資料啟用多重認證功能, 以致在黑客進入消委會網絡時, 未能核實對方身分, 是導致事件的主要原因.
        公署已經向消委會發出執行通知, 要求兩個月內完成7項指示, 包括為遙距存取載有個人資料的系統實施多重身分認證、 聘請獨立專家檢視資訊系統的保安措施、 制定及定期檢視資訊系統相關的保安措施和政策, 以及加強數據安全及資料保護的培訓.