05-03-2024星島日報(美西版)

A16 05.03.2024 星期五港聞去年9月，黑客「ALPHV」利用消委會一個具管理員權限的帳戶憑證，透過虛擬私有網絡進入其網絡，並在同月19日至20日對其伺服器及端點裝置，進行勒索軟件攻擊。私隱公署引述調查報告指，黑客入侵涉及的數據少於1.5GB，4個載有個人資料的檔案被未獲准許查閱，事件導致超過450人的個人資料受影響，包括289名投訴人、138名現職及24名已離職消委會員工、26名資訊科技服務供應商員工等，涉及資料包括姓名、電話號碼等。事件發生至今，私隱公署就事件收到20宗查詢及8宗投訴。私隱公署提出多項建議，以減低資訊系統被攻擊風險，包括對遙距登入資訊及通訊系統使用多重身份驗證、設定穩健的網絡保安框架、定期對資訊系統進行風險評估及保安審計、建立重視數據安全的企業文化及建立有效培訓計劃，加強員工對資料私隱意識和能力。另外，鍾麗玲指，消委會於2020年底疫情期間，允許員工透過VPN遠端連接消委會的網絡，實施遠程在家工作，當時有員工反對安裝額外多重認證的軟件，資訊科技部門人手亦不足，因此無為遠端登入消委會網絡的用戶，啟用多重認證功能；消委會隨後於 2022年5月取消在家工作安排，仍然允許員工在無多重認證功能的情況下，遠端連接消委會的網絡。她又指，雖然消委會在2020年起有使用網絡安全軟件偵測及攔截網絡安全威脅，但軟件在事件中未有攔截黑客，亦未有啟動警報功能。鍾麗玲認為，疫情後「遠程工作」或「在家工作」是新趨勢，但有關安排涉及遙距登入資訊系統，要注意網絡安全；又強調，不論大中小企業，對資訊系統保安都不應「慳錢」，特別涉及客戶個人資料，若稍有不慎，引致資料外洩事故，或得不償失。香港資訊科技商會榮譽會長方保僑表示，如果公司現時無再作出「在家工作」安排，可直接關閉相關的網絡接口，就算員工需要遙距工作，亦須啟用多重驗證，確保安全，網絡裝置也需要定期更新。消委會電腦系統去年被黑客以勒索軟件攻擊，導致逾450人的資料外洩。個人資料私隱專員公署2日公布事故調查報告，指事故源於消委會5項缺失，包括沒有為遠端存取資料啟用多重認證功能等。私隱專員鍾麗玲稱，消委會未有採取所有切實可行的步驟，以確保個人資料受保障，違反了私隱條例的規定，她已向消委會送達執行通知，要求於兩個月內糾正；私隱公署又建議消委會對遙距登入資訊及通訊系統使用多重身份驗證、定期進行風險評估及保安審計等，以減低被攻擊風險。 ■個人資料私隱專員鍾麗玲昨日公布事故調查報告。謝宗英攝巇㣙劋粷簁㴙巉5㝕罽㝤私隱署批沒多重認證功能遭黑客攻擊洩450人資料 ▍本報記者謝宗英香港報道 ▍ 不論大中小企業，對資訊系統保安都不應「慳錢」，若不慎引致資料外洩，或得不償失。私隱專員鍾麗玲最低工資確認改為「一年一檢」後，下一項與打工仔密切相關的議題，相信是公務員薪酬調整。薪酬趨勢調查正進行，基於疫後經濟復常及失業率低，預料得出正數的機會較高，唯最終調整幅度不一定跟足調查，仍要一併考慮其他因素。有行會中人認為，近年香港大力「搶人才」，他們的薪金水平亦可能左右調查結果。公務員每年薪酬調整幅度取決於6大因素，包括薪酬趨勢淨指標、經濟狀況、政府財政、生活費用變動、職方對薪酬調整要求及公務員士氣，須由行政長官會同行政會議審批。薪酬趨勢調查每年進行，根據高、中、低 3個薪金級別，量度私營機構僱員薪酬在年度之間的變動。在去年，高、中、低層薪金級別的薪酬趨勢，扣減遞增薪額後淨指標分別為 2.87%、4.65%和4.5%，最終行會決定高層公務員加2.87%，中低層加4.65%，與調查結果相若。不過再對上一年的淨指標，高級公務員高達7.26%，被商界炮轟與市場脫節，行會最後劃一向所有職級加薪2.5%。近年政府頻錄赤字，坊間有猜測指薪酬趨勢淨指標以外的5大因素，所佔比重會否更大，尤其「政府財政」一項，有立法會議員近日在預算案辯論亦建議公僕減薪。不過今年預算案中，只提及維持公務員編制零增長，以及繼續「資源效率優化計劃」，節省經常開支百分之一，暫未觸及公務員待遇。有行會中人反映，薪酬趨勢淨指標只是參考因素之一，但其參考價值近年受到一定挑戰，其中政府疫後推出多項「搶人才」政策，涉及11萬人，當中單是「高才通」計劃已有6.2萬宗批核，他們主要從事管理及專業工作。據勞福局數據，已到港就業的高才通人才，每月收入中位數約5萬元，約四分之一收入高達 10萬元以上，一成人達至少20萬元，如是者，很大機會拉高了私人市場整體薪酬水平，從而影響薪酬趨勢淨指標，尤其在高層人員薪酬方面。不過，公務員總工會主席馮傳宗認為此看法未必正確，始終現行制度行之有效，如無非常特殊的因素，應盡量貼近薪酬趨勢指標。他指現行政策傾向公務員薪酬與私人市場及整體經濟狀況大致相若，不論是本地抑或外來僱員，都包含在私人市場中，倘單單因為多了一批外來專才，就質疑整個薪酬趨勢調查代表性，並不公道。工聯會議員郭偉强表示，專才計劃對市場難免會有影響，且不是短暫情況，既然預期是中長期政策，就是「新常態」，無論私人市場和公務員隊伍都必須正視變化，考慮薪酬調幅時不宜「掩耳盜鈴」，否則或造成公務員中高級管理層波動及被挖角。局方回覆指，薪酬趨勢調查今年2月開始進行，預計5月底前完成，政府會繼續按照既定機制，處理今年公務員薪酬調整事宜。聶風大棋盤薪酬趨勢調查是否專才政策拉高指標私隱公署調查發現消委會5項缺失 1. 沒有為遠端存取資料啟用多重認證功能 2. 沒有妥善設定用作偵測及攔截網絡安全威脅的軟件 3. 欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料 4. 資訊保安政策有欠全面及具體 5. 保障個人資料私隱及網絡安全意識不足個人資料私隱專員公署完成有關消委會資料外洩事故的調查，認為事故是由於消委會的缺失所致，沒有採取所有切實可行的步驟以確保個人資料受保障，違反了私隱條例的規定。消委會2日回應稱，對於公署指出的不足之處和提出的建議深表重視，在事故發生後已積極採取即時行動糾正問題，包括為遠端存取資料啟用多重要素認證功能、全面檢視網絡安全方案的功能及作出妥善設定，以及進一步加強內部培訓以提升員工對網絡安全的意識和行為，正完善其資訊科技政策和工作指引，同時正委託威脅偵測與應變服務供應商，以加強抵禦網絡保安威脅的能力。未有發現任何資料被公開消委會表示，已委託鑑證專家檢查系統，結果顯示，黑客非法挪用具管理員權限的帳戶憑證，並通過安全資料傳輸層虛擬私人網絡入侵消委會電腦系統，儘管鑑證專家及消委會通過不同技術及多角度進行調查，但未能確定黑客獲得憑證的原因，強調有關帳戶一向採用複雜密碼、未曾受到攻擊，帳戶憑證亦未有在暗網出現，受影響的資料少於1.5GB。消委會表示，受影響的個人資料非常有限，主要涉及289名曾經向消委會遞交投訴的人士，亦包括現任和前職員的資料等，調查未能確定資料是否被下載，但根據外聘的暗網監察服務商資料，至目前為止，未有發現任何受影響資料被公開。消委會強調，務必在安全至上的原則下，持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案、提升個人資料管理的工作、加強內部培訓、資料管理政策及指引，並定期進行測試和檢討以提升網絡系統的管治水平。塎괐翤㏚㸖䒤壌⻐ㅠ粷┪⚉濸機電工程署發言人2日表示，該署正跟進一宗網上伺服器平台系統安全事故，涉及機電署於2022年3月至7月間，為應對2019冠狀病毒病而執行「圍封強檢」行動時所收集的資料。有關系統收錄14幢大廈內約17000名市民的姓名、聯絡電話、身份證號碼及住址等資料，這些資料存放於特定的網上伺服器平台，只有獲授權人員以密碼登入方可使用。涉14幢大廈17000名市民機電署於上月30日傍晚接獲個人資料私隱專員公署通知，指有市民報告，有關資料可在該伺服器平台瀏覽。機電署即時查核並發現密碼登入系統失效，有關資料可在無需輸入密碼的情況下瀏覽，但不能下載。按機電署要求，網上伺服器平台供應商當晚已從平台移除有關資料。機電署已就事件向警方報案，並通報政府資訊科技總監辦公室和保安局。機電署就事故致歉，雖然暫時未有證據顯示相關資料被公開，署方會郵遞信件至涉及大廈的單位，以通知有關的住戶。若他們發現有可疑情況，應及早報警。市民如有查詢，可致電機電署熱線2333 3762。消委會：重視不足之處已採行動糾正 ⪬㺒「┪埀」兎ꪨ 「䌑䕁ꮵ蔸 . 䌑」團結香港基金2日發表香港房屋趨勢導航報告，預測未來5年私人住宅和公營房屋的年均落成量分別將達到約1.9萬及3.5萬伙，超過長遠房屋策略的目標，公屋綜合輪候時間亦預計持續回落，「上樓」時間有望於 2026/27年度下降至4.5年，達成政府目標。基金倡政策重心應從「提量」轉向「提質」，並建議政府逐步提升公營房屋單位面積，及當中資助出售單位的比例。基金總裁李正儀提醒，政府在制訂土地房屋策略時需更具前瞻性，不僅要集中資源繼續造地建屋，著力提升居住質素。基金副總裁葉文祺預期，未來5年私人住宅供應將「先高後低」，展望2024至2028年，每年平均落成約19100個私人住宅單位，落成量較集中於首2年，均超過2萬個單位，其後逐漸回落至每年1.5萬至1.7萬個單位。本報記者李健威香港報道

Made with FlippingBook

RkJQdWJsaXNoZXIy ODc1MTYz