【消委會資料外洩】消委會:已啟用多重認證加強培訓 正完善資訊科技政策及指引
撰文: 梁薾心
發布時間: 2024/05/02 12:18
最後更新: 2024/05/03 09:01
消委會今日(2日)回應私隱專員公署調查報告指,很重視公署指出的不足之處和具體建議,在事故發生後已積極採取即時行動糾正問題。消委會再次強烈譴責黑客在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響的人士深表歉意。
消委會指,已為遠端存取資料啟用多重要素認證(MFA)功能、全面檢視網絡安全方案的功能及作出妥善設定,及進一步加強內部培訓以提升員工對網絡安全的意識和行為;亦正完善其資訊科技政策和工作指引,同時正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力。
消委會又指,鑑證調查結果顯示,黑客非法挪用具管理員權限的帳戶憑證,並通過安全資料傳輸層虛擬私人網路(SSL VPN)入侵消委會電腦系統。惟即使鑑證專家及會方通過不同技術及多角度進行調查,仍未能確定黑客獲得憑證的原因,只確定有關帳戶一向採用複雜密碼、未曾受到暴力攻擊,該帳戶憑證亦未有在暗網出現。
消委會亦稱,受影響的個人資料非常有限,主要涉及 289名曾向消委會遞交投訴的人士,有關資料載於1份用作投訴數據分析的試算表,當中包括姓名及主要聯絡方法,但不涉及信用卡、銀行帳戶及財務資料。另包括載於消委會內部職員名錄的138名現任職員及24名前職員的姓名、所屬部門及辦公室電話;載於消委會1份草擬招標書中的1名職員的聯絡資料;及載於消委會資訊科技服務供應商名錄的26名員工聯絡資料,而此3份檔案分別載於2名職員的工作電腦。
消委會說雖然調查未能確定相關資料是否被下載,但根據外聘的暗網監察服務商的資料,至目前為止未有發現任何受影響的消委會資料被公開。
消委會形容網絡安全風險所帶來的挑戰與日俱增,會方將在安全至上的原則下,持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案、提升個人資料管理的工作、加強內部培訓、資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。
下載HKET App,追蹤TOPick WhatsApp頻道,睇全方位資訊:
責任編輯:梁薾心