專業傳承 在地記錄

消委會洩資料|調查指五缺失肇禍 私隱專員:千祈千祈唔好畀贖金

分享:

消委會去年 9 月透過記者會交代事件,稱機構部分電腦系統於同月 20 日無法無法使用,經追查後始發現系統早在十六小時前,即 19 日的傍晚 6 時已遭黑客入侵。

私隱專員公署今就事件公佈調查報告,揭發早在去年 9 月 4 日,黑客組織BlackCat(又名ALPHV) 獲取一個具有消委會權限的帳戶憑證後,透過私有網絡(VPN)進入消委會網絡,其後再獲得另外三個帳戶憑證。黑客組織隨後在去年 9 月 19 至 20 日,對消委會伺服器及端點裝置進行勒索軟件攻擊,最終,消委會有 93 個系統化遭惡意加密、 11 個伺服器及端點裝置被入侵。

帳戶憑證如何外洩? 消委會未能提供確實原因

黑客組織最初獲得的帳戶憑證屬於資訊科技部員工。被問到黑客如何獲得相關資訊,鍾麗玲稱曾向消委會查詢上述情況,惟對方未能提供確實原因,直言「我哋都不能夠理解點解(帳戶)被人攞咗。消委會則回應稱,雖然相關原因未明,但強調涉事帳戶一向採用複雜密碼、未曾受到暴力攻擊 (brute- forcing),至今未有在暗網出現。

是次事故中,共有 477人的個人資料受影響,當中有逾六成,289人為投訴人。另分別有138名及24名現職、離職消委會員工的資料受影響;餘下26人為資訊科技服務供應商員工。

私隱專員公署另發現,事故中被外洩、涉投訴人的個人資料,自2023年6月起因人為錯誤或疏忽,被儲存於無配置網絡安全軟件的測試伺服器内。消委會稱,無意於測試伺服器儲存個人資料,但承認事發時並無任何書面政策禁止或防止員工儲存個人資料於相關位置。

網絡安全軟件 未有啟動警報功能

調查報告另提到,為偵測及攔截網絡安全威脅,消委會早在2020年5月開始使用網絡安全軟件,軟件會向消委會發出警報。但是次事故中,上述軟件不但末能攔截黑客進入網絡後的活動,亦末有啟動警報功能。然而,由於複雜負責軟件的消委會員工、供應商員工均已離職,故消委會未能確定有關原因。

根據調查,消委會有五項缺失導致事故發生,其一為消委會沒有為遠端存取資料啟用多重認證功能。鍾麗玲補充,消委會在疫情期間實施在家工作安排,而引入安排前曾考慮應否安裝多重認證功能,惟最終在資訊科技部人手不足、員工反對安裝額外軟件的「阻力」下遭擱置。

另一個缺失則是,消委會沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件; 此外,消委會欠缺足夠保安措施,禁止或防止於測試伺服器內儲存個人資料,投訴人被儲存測試伺服器內;第四,消委會的資訊保安政策欠具體 ,未能讓員工有一個具體的網絡保安框架可依循;最後則是消委會員工對於保障個人資料私隱、網絡安全方面意識不足。

消委會早前強調,並不會繳交黑客要求提交的 70 萬美元。鍾麗玲今日重申,建議機構若遭黑客入侵而導致資料外洩,「千祈千祈唔好畀贖金」,因繳付贖金並不代表建議重新獲取外洩資料,強調不應縱容犯法的黑客行徑。個人資料私隱專員公署首席個人資料主任(合規及查詢)郭正熙補充,至今就事件接獲20宗查詢、8宗投訴。

消委會透過新聞稿回應稱,對公署指出的不足之處和提出的建議深表重視,在事故發生後已積極採取即時行動糾正,包括為遠端存取資料啟用多重要素認證(MFA)功能、進一步加強內部培訓以提升員工對網絡安全的意識和行為,另正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力等。消委會補充,事故後已委託服務商全天候監察暗網,暫未有發現任何受影響的資料被公開。

消委會另強調,將持續提升資訊系統保安系統及數據安全、加強內部培訓、資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。