日期: 2024年5月2日
私隱專員公署發表有關消費者委員會資料外洩事故的調查結果
個人資料私隱專員公署(私隱專員公署)完成對消費者委員會(消委會)資料外洩事故的調查,並於今日發表調查結果。事件源於消委會向私隱專員公署通報資料外洩事故(該資料外洩事故),表示其伺服器遭受到勒索軟件攻擊。該資料外洩事故導致消委會的數據遭受未獲准許的查閱,當中涉及超過450名人士的個人資料,包括投訴人、資訊科技服務供應商的員工、消委會的現職及已離職員工。
私隱專員公署多謝消委會在調查過程中所提供的各種資料及合作。調查結果顯示一個黑客組織取得消委會一個具管理員權限的帳戶憑證,隨後透過虛擬私有網絡進入消委會的網絡,並對消委會的伺服器及端點裝置進行勒索軟件攻擊。
根據調查所獲得的證據,個人資料私隱專員(私隱專員)鍾麗玲認為該資料外洩事故是由消委會的以下缺失所導致:
-
沒有為遠端存取資料啟用多重認證功能,導致黑客能利用獲取的帳戶憑證進入消委會的網絡、進行勒索軟件攻擊,以及查閱消委會所持有的個人資料;
-
沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件,導致該網絡安全軟件在偵測網絡安全威脅後未能向消委會發送警報電郵;
-
欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料,導致消委會持有的289名投訴人的個人資料因人為錯誤或疏忽而被儲存於沒有配置網絡安全軟件的一個測試伺服器內,隨後遭受黑客攻擊;
-
資訊保安政策有欠全面及具體,未有提供全面及具體的網絡保安框架或資訊科技保安檢視規定及程序供員工依循;及
-
保障個人資料私隱及網絡安全意識不足:除了因人為錯誤或疏忽而儲存個人資料於測試伺服器外,調查亦發現一名前資訊科技部員工沒有於系統設定實施消委會訂定的複雜密碼政策,令有關政策在事發時未有被貫徹實施。上述例子均反映了消委會的員工在保障個人資料私隱及網絡安全方面意識不足。
基於上述原因,私隱專員鍾麗玲認為消委會沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《個人資料(私隱)條例》的保障資料第 4(1)原則有關個人資料保安的規定。
私隱專員已向消委會送達執行通知,指示消委會糾正其違反事項,以及防止類似違規情況再次發生。
隨著科技進步,採用資訊及通訊科技、混合工作模式及遠端存取資料已成為新常態。雖然科技發展帶來好處及便利,但同時亦無可避免地增加數據安全的風險。為應對網絡威脅,機構應定期檢視及加強其資訊系統的保安措施。私隱專員希望向使用資訊及通訊科技處理個人資料的機構作出以下建議:
-
對遙距登入資訊及通訊系統使用多重身份驗證,以減低資訊系統被攻擊的風險;
-
設立穩健的網絡保安框架,在防範、偵測及應對網絡攻擊方面投放足夠資源及制訂有效的策略及措施,以減低被攻擊的可能性及資料外洩風險;
-
定期對資訊系統進行風險評估及保安審計;
-
建立重視數據安全的企業文化;及
-
建立有效的培訓計劃,加強員工就數據安全及個人資料私隱方面的意識及能力。
私隱專員鍾麗玲發表消委會資料外洩事故的調查結果。
私隱專員鍾麗玲發表消委會資料外洩事故的調查結果。
私隱專員鍾麗玲(左)及首席個人資料主任(合規及查詢)郭正熙(右)講解消委會資料外洩事故的調查結果。
-完-