私隐专员指消委会未启用多重认证　致黑客入侵450人资料外泄

消委会电脑系统去年9月遭黑客以勒索软件恶意入侵，私隐专员公署发表调查报告，指消委会在疫情期间实施在家工作，容许员工透过VPN远端连接消委会网络，未有启用多重认证，到结束在家工作安排后，亦无取消远端连接网络的安排。私隐专员形容是消委会被黑客入侵的主因。而事件中有450人的资料遭外泄，包括近300名投诉人的姓名、手机号码、地址、电邮地址、及投诉性质及简要。

私隐专员公署调查发现，黑客组织取得消委会一个有管理员权限的帐户凭证，随后透过虚拟私有网络进入消委会网络，并对服务器及端点装置进行攻击，而黑客入侵涉及的数据少于1.5GB，四个载有个人资料的档案，被未获准许查阅，涉及超过450名人士的个人资料，包括近300名投诉人的姓名、手机号码、地址、电邮地址、及投诉性质及简要，亦涉及资讯科技服务供应商的员工，以及消委会的现职和已离职员工的个人资料。

钟丽玲指，消委会在2020年底疫情期间，实施在家工作安排，允许员工透过VPN远端连接消委会的网络，当时因为员工反对安装额外多重认证的软件，资讯科技部门人手不亦不足，因此无为远端登入消委会网络的用户，启用多重认证功能；消委会到2022年5月取消在家工作安排，仍然允许员⼯在无多重认证功能的情况下，远端连接消委会的网络。消委会事后回应公署指，已暂停远端存取资料的安排。

钟丽玲又指，虽然消委会在2020年起有使用网络安全软件侦测及拦截网络安全威胁，但软件在事件中未有拦截黑客，亦未有启动警报功能。消委会回应公署时指，由于负责网络安全软件的员⼯及供应商员工均已离职，消委会未能确定原因，但指已修正软件的设定，在侦测威胁后向消委会发送警报电邮。

钟丽玲亦指，事件部份涉及人为错误或疏忽，欠缺足够保安措施禁止于测试服务器储存资料，导致289名投诉人的个人资料因人为因素，自去年6月起储存在没有网络安全软件的测试服务器内。亦指消委会未有提供全面资讯保安框架供员工依循，亦有一名前资讯科技部门员工未有在系统设定已订明的复杂密码政策。

公署向消委会送达执行通知，要求两个月内纠正，包括为所有遥距存取载有个人资料的系统实施多重身分认证，并定期检视遥距存取的权限，亦要确保员工遵循资讯保安政策及程序。

钟丽玲指出，知悉“在家工作”安排是新趋势，但有关安排涉及遥距登入资讯系统，有多一重风险，需注意网络安全，呼吁各机构考虑涉及的数据是否包含个人资料，是否敏感、数量多寡等，再决定是否应加大保障，例如传输时是否需要加密，以及设立双重认证安排。她又指，不论大中小企业都对资讯系统保安都不应“悭钱”，特别涉及客户个人资料，若稍有不慎引致资料外泄事故，往往会得不偿失。

消委会回应指，事件中整体受影响的个人资料非常有限，而根据外聘的暗网监察服务商的资料，目前未有发现任何受影响的消委会资料被公开；又指专家及消委会通过不同技术及多角度进行调查，但仍未能确定黑客获得帐户凭证的原因。消委会指，对私隐专员公署的建议深表重视，事后已经即时纠正，包括为远端存取资料启用多重认证，全面检视网络安全方案的功能，以及加强内部培训等。