黑客入侵消委会｜私隐公署裁违例　消委会称已采行动加强系统保安

消费者委员会电脑系统去年遭黑客以勒索软件恶意入侵，个人资料私隐专员公署今日（2日）发表调查报告，裁定消委会违《私隐条例》及有5大缺失致事故。消委会回应指，一向十分重视网络安全和采取不同措施提升系统保安，遭黑客入侵后已采取一系列应对行动及进一步加强系统保安措施，包括委托鉴证专家检查系统,深入调查事件起因和资料是否有被盗取,并根据专家意见作出遏制和强化行动，加强资讯科技保安措施以防止黑客再次入侵。

消委会指就私隐专员公署指出的不足之处和提出的具体建议，消委会深表重视，在事故发生后已积极纠正问题，包括为远端存取资料启用多重要素认证(MFA)功能、全面检视网络安全方案的功能及作出妥善设定,及进一步加强内部培训以提升员工对网络安全的意识和行为。消委会又称会持续提升资讯系统保安系统及数据安全、采取与时并进的保安技术及方案、提升个人资料管理的工作、加强内部培训、资料管理政策及指引，并定期进行测试和检讨以提升网络系统的管治水平。

▼2023年9月22日　消委会交代电脑系统被黑客入侵及勒索事件▼

消委会称，一向十分重视网络安全和采取不同措施提升系统保安，在遭黑客入侵后，采取一系列的应对行动及进一步加强系统保安措施，包括:

1/在发现事故后,即时采取相关遏制行动,以保护并恢复资讯科技系统
2/根据风险评估,在 48 小时内举行新闻发布会主动公布事件和呼吁所有可能受影响人士要提高警觉,随后再发出个别通知和网络安全提示
3/委托鉴证专家检查系统,深入调查事件起因和资料是否有被盗取,并根据专家意见作出遏制和强化行动,加强资讯科技保安措施以防止黑客再次入侵
4/再三确认鉴证调查结果后,以负责任的态度向受影响人士发出个别通知,及向不受影响的人士发出更新通知以释疑虑
5/委托服务商全天候监察暗网,以便第一时间知悉是否有被盗取的资料被公开

个人资料私隐专员公署列消委会五大缺失：

1/没有为远端存取资料启用多重认证功能
2/没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件
3/欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料
4/资讯保安政策有欠全面及具体
5/保障个人资料私隐及网络安全意识不足