揭消委會5大缺失 私隱署：477人遭洩密

根據調查結果顯示，黑客組織ALPHV在去年9月4日獲取並利用消委會一個具管理員權限的帳戶，透過虛擬私有網絡進入消委會的網絡，隨後在9月19至20日，消委會伺服器及端點裝置遭受勒索軟件攻擊，才揭發被黑客入侵；及後在9月21日，消委會向公署通報事件。

鍾表示，今次事件受影響人士包括投訴人、資訊科技服務供應商員工、現職及已離職的消委會員工。而報告亦指出，消委會共有5項缺失，包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體，以及保障個人資料私隱及網絡安全意識不足，當中部分缺失甚至包括人為錯誤或疏忽因素。

被問及黑客組織如何取得具管理員權限的帳戶，鍾麗玲坦言相關消委會員工未能提供原因，而消委會亦「解釋唔到」，故私隱專員亦「理解唔到」。鍾又認為消委會通報處理及時，暫不會就事件對消委會作出檢控，除非消委會違反執行通知才會檢控。

私隱專員首席個人資料主任（合規及查詢）郭正熙表示，暫時共接獲20宗相關查詢及8宗投訴；現已向消委會送達執行通知，包括要求為所有遙距存取載有個人資料的系統，實施多重身份認證；需聘請獨立資訊安全專家檢視資訊系統保安措施、定期檢視資訊系統的保安措施、制訂清晰全面的政策程序以禁止在測試伺服器內儲存個人資料等。

消委會則表示對私隱專員提出的意見深表重視，在事故發生後已積極採取即時行動糾正問題，亦正完善其資訊科技政策和工作指引，同時正委託威脅偵測與應變服務供應商，以加強抵禦網絡保安威脅的能力。