私隱專員就消委會外洩資料作出七項指示

2/5/2024 13:41

        消委會資訊系統去年9月遭勒索軟件攻擊, 超過450人資料外洩. 私隱專員公署指, 事件由五項缺失所致, 批評消委會未有就保障個人資料, 採取切實可行的步驟.
        公署調查報告指, 消委會在疫情期間允許在家工作的員工, 遠端連接消委會的網絡, 但未有就存取資料啟用多重認證功能, 黑客其後以屬於資訊科技部門員工的帳戶憑證, 進入消委會網絡, 系統未能核實身分, 是導致事件的主因.
        至於黑客入侵後, 保安軟件未有發出電郵警示, 消委會指相關員工已經離職, 未能確定原因. 公署批評, 消委會沒有妥善設定網絡安全軟件, 預計在資訊發達的年代, 資料外洩個案將會增多, 呼籲機構投放適當資源, 保障個人資料.
        公署向消委會發出執行通知, 要求兩個月內完成7項指示, 包括為遙距存取載有個人資料的系統實施多重認證、 聘請獨立專家檢視資訊系統的保安措施、 制定及定期檢視相關措施和政策, 並加強數據安全及資料保護的培訓.