私隱專員指消委會未啟用多重認證 致黑客入侵450人資料外洩
消委會電腦系統去年9月遭黑客以勒索軟件惡意入侵,私隱專員公署發表調查報告,指消委會在疫情期間實施在家工作,容許員工透過VPN遠端連接消委會網絡,未有啟用多重認證,到結束在家工作安排後,亦無取消遠端連接網絡的安排。私隱專員形容是消委會被黑客入侵的主因。而事件中有450人的資料遭外洩,包括近300名投訴人的姓名、手機號碼、地址、電郵地址、及投訴性質及簡要。
私隱專員公署調查發現,黑客組織取得消委會一個有管理員權限的帳戶憑證,隨後透過虛擬私有網絡進入消委會網絡,並對伺服器及端點裝置進行攻擊,而黑客入侵涉及的數據少於1.5GB,四個載有個人資料的檔案,被未獲准許查閱,涉及超過450名人士的個人資料,包括近300名投訴人的姓名、手機號碼、地址、電郵地址、及投訴性質及簡要,亦涉及資訊科技服務供應商的員工,以及消委會的現職和已離職員工的個人資料。
鍾麗玲指,消委會在2020年底疫情期間,實施在家工作安排,允許員工透過VPN遠端連接消委會的網絡,當時因為員工反對安裝額外多重認證的軟件,資訊科技部門人手不亦不足,因此無為遠端登入消委會網絡的用戶,啟用多重認證功能;消委會到2022年5月取消在家工作安排,仍然允許員⼯在無多重認證功能的情況下,遠端連接消委會的網絡。消委會事後回應公署指,已暫停遠端存取資料的安排。
鍾麗玲又指,雖然消委會在2020年起有使用網絡安全軟件偵測及攔截網絡安全威脅,但軟件在事件中未有攔截黑客,亦未有啟動警報功能。消委會回應公署時指,由於負責網絡安全軟件的員⼯及供應商員工均已離職,消委會未能確定原因,但指已修正軟件的設定,在偵測威脅後向消委會發送警報電郵。
鍾麗玲亦指,事件部份涉及人為錯誤或疏忽,欠缺足夠保安措施禁止於測試伺服器儲存資料,導致289名投訴人的個人資料因人為因素,自去年6月起儲存在沒有網絡安全軟件的測試伺服器內。亦指消委會未有提供全面資訊保安框架供員工依循,亦有一名前資訊科技部門員工未有在系統設定已訂明的複雜密碼政策。
公署向消委會送達執行通知,要求兩個月內糾正,包括為所有遙距存取載有個人資料的系統實施多重身分認證,並定期檢視遙距存取的權限,亦要確保員工遵循資訊保安政策及程序。
鍾麗玲指出,知悉「在家工作」安排是新趨勢,但有關安排涉及遙距登入資訊系統,有多一重風險,需注意網絡安全,呼籲各機構考慮涉及的數據是否包含個人資料,是否敏感、數量多寡等,再決定是否應加大保障,例如傳輸時是否需要加密,以及設立雙重認證安排。她又指,不論大中小企業都對資訊系統保安都不應「慳錢」,特別涉及客戶個人資料,若稍有不慎引致資料外洩事故,往往會得不償失。
消委會回應指,事件中整體受影響的個人資料非常有限,而根據外聘的暗網監察服務商的資料,目前未有發現任何受影響的消委會資料被公開;又指專家及消委會通過不同技術及多角度進行調查,但仍未能確定黑客獲得帳戶憑證的原因。消委會指,對私隱專員公署的建議深表重視,事後已經即時糾正,包括為遠端存取資料啟用多重認證,全面檢視網絡安全方案的功能,以及加強內部培訓等。