私隱公署：在家工作涉及遙距登入 機構要加強加密保障

鍾麗玲表示，在家工作是新常態，機構必須注意網絡安全，尤其因為涉及遙距登入，要考慮加強加密保障。

私隱專員鍾麗玲。資料圖片(圖片來源:星島日報)

消委會電腦系統去年被黑客以勒索軟件攻擊，導致部分系統受破壞，勒索數十萬美元贖金。個人資料私隱專員公署完成調查事件，認為消委會有數項缺失，導致超過450人的資料外洩，違反私隱條例規定，已指示消委會糾正及防止類似情況再發生，消委會要在兩個月內證明完成有關指示。

調查顯示，有黑客組織取得消委會一個有管理員權限的帳戶憑證，透過虛擬私有網絡（VPN）進入消委會的網絡，再以勒索軟件攻擊伺服器，導致93個系統遭到惡意加密，伺服器及員工電腦等端點裝置被入侵。

私隱專員鍾麗玲指出，疫情期間消委會安排員工「在家工作」，允許員工遠端連接網絡，而未有啟用多重認證功能是導致事件的重要原因，若果消委會有設定多重認證，核實帳戶的用戶身份，相信可以阻止黑客進入系統，避免隨後的勒索攻擊。

鍾麗玲表示，在家工作是新常態，機構必須注意網絡安全，尤其因為涉及遙距登入，要考慮加強加密保障。她說，市面上有很多雙重認證的軟件，設定簡單，安全性很高。

公署的調查又發現，消委會負責網絡安全的員工離職後，沒有啟動偵測及攔截網絡威脅的警報設定，導致系統偵測到網絡安全威脅後未有發送警報電郵；一名前資訊科技部員工亦沒有按政策規定，於系統設定複雜密碼。

個人資料私隱專員公署公布機電工程署個人資料外洩事故調查結果，懷疑外洩的個人資料涉及前年疫情期間「強檢行動」中約17000名受檢測人士的個人資料，裁定機電署違反《私隱條例》規定。機電署回應，知悉調查報告，將詳細審視內容，並會嚴肅跟進和採取適當行動。

香港個人資料私隱專員公署FB圖片

機電署表示，就「圍封強檢」行動所涉及的網上伺服器平台服務，署方與承辦商的採購條款內，已列明於服務期完結後，承辦商會刪除相關資料。在知悉有關資料外洩後，一直採取積極及負責任態度，向執法部門匯報個案，配合公署調查，並即時向該承辦商了解伺服器平台運作，確保資料已完全被移除。

(圖片來源:星島日報)

署方表示，已總結經驗，致力建立更穩健的私隱保安框架和保障個人資料企業文化，避免類似事件再次發生，並已採取一系列措施，包括強化私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管等。若外判服務涉及處理個人資料，署方會在合約完結後，提醒承辦商須在期限內刪除資料，並主動查核，以確認已完成刪除資料工作。