私隱專員公署完成有關消委會資料外洩事故的調查,指涉及消委會的缺失。消委會回應報告稱,在事故發生後已積極採取即時行動糾正問題,完善資訊科技政策和工作指引,同時正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力。
消委會再次強烈譴責,黑客在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響的人士深表歉意。
就私隱專員公署指出消委會在個人資料保障方面的不足之處和提出的具體建議,消委會深表重視,已積極採取行動糾正問題,當中包括為遠端存取資料啟用多重要素認證(MFA)功能、全面檢視網絡安全方案的功能,及作出妥善設定,及進一步加強內部培訓,以提升員工對網絡安全的意識和行為。
消委會並將持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案、提升個人資料管理的工作、加強內部培訓、資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。
消委會表示,於去年9月20日早上發現電腦系統遭入侵,隨即處理事故。除了向警方報案,亦主動通報私隱專員公署,並於過去半年一直提供大量相關資料,和全力配合有關方面的調查工作。
在遭黑客入侵後,消委會在委員會的指導和監察下,採取一系列的應對行動及進一步加強系統保安措施,包括採取相關遏制行動,以保護並恢復資訊科技系統;根據風險評估,在48小時內舉行新聞發布會主動公布事件,和呼籲所有可能受影響人士要提高警覺,隨後再發出個別通知和網絡安全提示;委託鑑證專家檢查系統,深入調查事件起因和資料是否有被盜取,並根據專家意見作出遏制和強化行動,加強資訊科技保安措施以防止黑客再次入侵。
再三確認鑑證調查結果後,向受影響人士發出個別通知,及向不受影響的人士發出更新通知以釋疑慮;委託服務商全天候監察暗網,以便第一時間知悉是否有被盜取的資料被公開。
整體而言,受影響的個人資料主要涉及289名曾經向消委會遞交投訴的人士資料,包括姓名及主要聯絡方法,例如電話、電郵地址或地址,並不涉及信用卡、銀行賬戶及財務資料。此外,有關資料亦包括載於消委會內部職員名錄的138名現任職員及24名前職員的姓名、所屬部門及辦公室電話;載於消委會一份草擬招標書中的一位職員的聯絡資料;及載於消委會資訊科技服務供應商名錄的26名員工聯絡資料,而此3份檔案分別載於兩位職員的工作電腦。調查未能確定相關資料是否被下載,但根據外聘的暗網監察服務商的資料,至目前為止未有發現任何受影響的消委會資料被公開。
