黑客入侵消委會|私隱公署裁違例 消委會稱已採行動加強系統保安
消費者委員會電腦系統去年遭黑客以勒索軟件惡意入侵,個人資料私隱專員公署今日(2日)發表調查報告,裁定消委會違《私隱條例》及有5大缺失致事故。消委會回應指,一向十分重視網絡安全和採取不同措施提升系統保安,遭黑客入侵後已採取一系列應對行動及進一步加強系統保安措施,包括委託鑑證專家檢查系統,深入調查事件起因和資料是否有被盜取,並根據專家意見作出遏制和強化行動,加強資訊科技保安措施以防止黑客再次入侵。
消委會指就私隱專員公署指出的不足之處和提出的具體建議,消委會深表重視,在事故發生後已積極糾正問題,包括為遠端存取資料啟用多重要素認證(MFA)功能、全面檢視網絡安全方案的功能及作出妥善設定,及進一步加強內部培訓以提升員工對網絡安全的意識和行為。消委會又稱會持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案、提升個人資料管理的工作、加強內部培訓、資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。
▼2023年9月22日 消委會交代電腦系統被黑客入侵及勒索事件▼
消委會稱,一向十分重視網絡安全和採取不同措施提升系統保安,在遭黑客入侵後,採取一系列的應對行動及進一步加強系統保安措施,包括:
1/在發現事故後,即時採取相關遏制行動,以保護並恢復資訊科技系統
2/根據風險評估,在 48 小時內舉行新聞發布會主動公布事件和呼籲所有可能受影響人士要提高警覺,隨後再發出個別通知和網絡安全提示
3/委託鑑證專家檢查系統,深入調查事件起因和資料是否有被盜取,並根據專家意見作出遏制和強化行動,加強資訊科技保安措施以防止黑客再次入侵
4/再三確認鑑證調查結果後,以負責任的態度向受影響人士發出個別通知,及向不受影響的人士發出更新通知以釋疑慮
5/委託服務商全天候監察暗網,以便第一時間知悉是否有被盜取的資料被公開
個人資料私隱專員公署列消委會五大缺失:
1/沒有為遠端存取資料啟用多重認證功能
2/沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件
3/欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料
4/資訊保安政策有欠全面及具體
5/保障個人資料私隱及網絡安全意識不足