私隱署點名　消委會數碼港5大缺失

公營及法定機構亦屢爆資料外洩事故，包括數碼港及消費者委員會電腦系統先後遭黑客以勒索軟件惡意入侵，導致大量個人資料受影響，亦遭個人資料私隱專員公署批評有缺失，要求改正。

去年8月有黑客入侵數碼港電腦系統，盜取超過400GB數據，涉及1.3萬人的個人資料，包括姓名、身份證副本及聯絡資訊被盜，更有部分人的銀行帳號、醫療報告、薪資等亦遭外洩，當中40%的事主屬已離職或求職者。私隱署公布調查報告，指事件因數碼港5項缺失導致，包括系統欠缺有效偵測措施、遠端操作未設多重認證、保安審計不足、保安政策欠具體及不必要地保留他人的個人資料，裁定數碼港違反私隱條例規定，並發出執行通知。

私隱署批評數碼港系統包括資訊系統欠有效偵測措施，亦無核實遠端登入用戶身份，令黑客從遠端用勒索軟件攻擊，入侵13個視窗系統及兩台虛擬伺服器。私隱專員鍾麗玲亦批數碼港作為一間具規模的資訊系統機構，僅僅依賴一款反惡意軟件來偵測異常活動，「明顯不足夠及不成比例。」

另外，消委會的電腦系統於去年9月初亦遭黑客以勒索軟件惡意入侵，導致資料外洩，受影響人數共477人，其姓名、手提電話號碼、住宅或電郵地址等個人資料均被洩漏。私隱署日前公布調查報告指消委會在事件中有5項缺失，包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體，以及保障個人資料私隱及網絡安全意識不足，當中部分缺失甚至包括人為錯誤或疏忽因素。私隱署已向消委會送達執行通知，糾正違反事項，以防止類似違規情況再發生。