個人資料私隱專員公署完成有關消委會資料外洩事故的調查,認為事故由於消委會的缺失所致,沒有採取所有切實可行的步驟以確保個人資料受保障,違反了私隱條例的規定,私隱專員已向消委會送達執行通知,指示消委會糾正及防止類似違規情況再發生。
消委會回應,對於公署指出的不足之處和提出的建議深表重視,在事故發生後已積極採取即時行動糾正問題,包括為遠端存取資料啟用多重要素認證(MFA)功能、全面檢視網絡安全方案的功能及作出妥善設定,以及進一步加強內部培訓以提升員工對網絡安全的意識和行為。消委會亦正完善其資訊科技政策和工作指引,同時正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力。
消委會又指,已委託鑑證專家檢查系統,結果顯示黑客非法挪用具管理員權限的帳戶憑證,並通過安全資料傳輸層虛擬私人網路入侵消委會電腦系統,儘管鑑證專家及消委會通過不同技術及多角度進行調查,但未能確定黑客獲得憑證的原因,強調有關帳戶一向採用複雜密碼、未曾受到暴力攻擊,帳戶憑證亦未有在暗網出現,受影響的資料少於1.5GB。
消委會說,受影響的個人資料非常有限,主要涉及289名曾經向消委會遞交投訴的人士,亦包括現任和前職員的資料等。調查未能確定資料是否被下載,但根據外聘的暗網監察服務商資料,至目前為止未有發現任何受影響資料被公開。
消委會強調,務必在安全至上的原則下,持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案、提升個人資料管理的工作、加強內部培訓、資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。