機電工程署在疫情期間曾負責「圍封強檢」行動,一個網上伺服器平台收錄17,000名市民的個人資料,然而該平台密碼登入系統失效,毋須輸入密碼便可瀏覽住戶的身份證號碼、電話號碼等。個人資料私隱專員鍾麗玲在一個電台節目中表示事態嚴重,涉及人數比較多,私隱專員公署將根據正常程序啟動調查,已建議機電署盡快通知受影響人士,而署方暫時未收到市民投訴。
另外,消費者委員會的電腦系統去年遭黑客攻擊勒索,公署認為是消委會的缺失,導致超過450人的個人資料外洩,違反私隱條例規定。鍾麗玲表示,事發時,消委會將有關個人資料放在測試伺服器,涉及人為錯誤。
鍾麗玲稱,疫情期間,消委會職員「在家工作」透過遠端存取資料時,沒有使用多重認證功能,因為當時員工對加裝應用程式有聲音,消委會資訊科技人手亦不足。她強調,採用多重認證,成本及技術不是很高,若有關機構不夠人手,可外聘專家,若有需要亦可聯絡公署提供協助。
鍾麗玲又鼓勵其他機構,設置妥當網絡安全軟件,並啟動所有功能,否則會令軟件失效。
消委會表示,一向十分重視網絡安全和採取不同措施提升系統保安。在遭黑客入侵後,消委會在委員會的指導和監察下,已採取一系列的應對行動及進一步加強系統保安措施。
就私隱專員公署指出消委會在個人資料保障方面的不足之處和提出的具體建議,消委會回應指,在事故發生後已積極採取即時行動糾正問題,當中包括為遠端存取資料啟用多重要素認證(MFA)功能、全面檢視網絡安全方案的功能及作出妥善設定,及進一步加強內部培訓以提升員工對網絡安全的意識和行為。消委會亦正完善其資訊科技政策和工作指引,同時正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力。
消委會表示,受影響的個人資料非常有限,主要涉及289名曾經向消委會遞交投訴的人士,亦包括現任和前職員的資料等。調查未能確定資料是否被下載,但根據外聘的暗網監察服務商資料,至目前為止未有發現任何受影響資料被公開。
消委會又指,該會持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案、提升個人資料管理的工作、加強內部培訓、資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。並再次強烈譴責黑客在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響的人士深表歉意。
