Chung terutama mengaitkan serangan cyber dengan kegagalan untuk memperkenalkan sistem otentikasi multi-langkah untuk akses data jarak jauh. Dia mendesak organisasi lain untuk mengadopsi ukuran yang sama, mencatat sistem seperti itu biasanya terjangkau.
“Dewan belum mengambil semua langkah praktis untuk memastikan bahwa data pribadi yang terlibat dilindungi dari akses, pemrosesan, penghapusan, kehilangan, atau kerusakan yang tidak sah atau tidak disengaja,” katanya.
“[Otentikasi multi-faktor] akan memberikan perlindungan tambahan ke seluruh sistem informasi selain hanya dengan mengandalkan kata sandi.
“Menurut beberapa literatur teknologi informasi, perlindungan yang diberikan oleh otentikasi multi-faktor ini akan ditingkatkan menjadi lebih dari 99 persen jika fitur ini diaktifkan.”
Chung mengatakan dewan bermaksud untuk memperkenalkan otentikasi multi-faktor ketika mengadopsi kebijakan bekerja dari rumah pada tahun 2020 selama pandemi Covid-19.
Tetapi staf menentang rencana itu karena memerlukan menginstal perangkat lunak tambahan pada perangkat mereka, tambahnya.
Komisaris privasi juga mengatakan sistem cybersecurity pengawas tidak dikonfigurasi dengan benar dan gagal mengirimkan peringatan email sebagai tanggapan atas serangan cyber, dengan dewan hanya mengetahui insiden itu begitu permintaan tebusan datang.
“Jika dewan meninjau atau memperbaiki pengaturan sebelum kejadian, itu mungkin telah meningkatkan kemungkinan mengidentifikasi manuver awal oleh peretas, menghindari serangan tebusan dan akses data yang tidak sah,” katanya.
Chung mengatakan saat ini tidak diketahui mengapa kredensial akun bocor ke peretas, menambahkan bahwa staf TI yang terlibat telah mengundurkan diri dan dewan tidak dapat menemukan alasan di balik konfigurasi yang bermasalah.
Kantor komisaris mengatakan dewan juga gagal melarang penyimpanan data pribadi pada server pengujian karena “kesalahan manusia atau pengawasan”.
Serangan cyber mengakibatkan nama, nomor telepon, alamat dan data pendapatan dari 289 pengadu bocor, di samping informasi pribadi dari 138 karyawan saat ini dan 24 mantan karyawan pengawas konsumen.
Penghitungan juga termasuk data 26 orang yang bekerja untuk vendor TI dewan.
Komisaris melayani dewan dengan pemberitahuan penegakan yang mengharuskannya untuk menerapkan otentikasi multi-faktor untuk pengguna jarak jauh, secara teratur meninjau langkah-langkah keamanan sibernya, melakukan penilaian risiko dan audit keamanan, serta menawarkan pelatihan staf.
Pengawas konsumen memiliki waktu dua bulan untuk menyerahkan bukti kepatuhannya terhadap pemberitahuan tersebut, dengan pihak-pihak terkait menghadapi denda hingga HK $ 50.000 (US $ 6.390) dan dua bulan penjara jika mereka gagal mematuhinya.
Kantor komisaris telah menerima 20 pertanyaan dan delapan keluhan tentang insiden tersebut.
Menanggapi penyelidikan, Dewan Konsumen mengatakan tidak ada informasi dari kebocoran yang ditemukan telah dipublikasikan di web gelap – di mana penjahat membeli dan menjual data – menurut penyedia layanan yang dipercayakan oleh pengawas.
Dewan juga mengatakan telah mengambil langkah-langkah untuk memperkuat keamanan, seperti mengaktifkan otentikasi multi-faktor, meninjau fungsi sistem keamanan siber dan meningkatkan kebijakan TI-nya.
Ia menambahkan bahwa mereka juga telah melibatkan ahli forensik untuk menyelidiki peristiwa tersebut, yang memastikan bahwa akun yang digunakan oleh peretas selalu memiliki “kata sandi yang rumit tanpa tanda-tanda kekerasan” dan kredensialnya tidak ditemukan di web gelap.
Ini bukan pertama kalinya pemerintah atau badan terkait melanggar aturan privasi. Cyberport, yang dikelola oleh perusahaan yang sepenuhnya dimiliki oleh pemerintah, memiliki data 13.000 karyawan dan pencari kerja yang dicuri Agustus lalu setelah serangan peretas.
Anggota parlemen Duncan Chiu, yang mewakili sektor inovasi dan teknologi, mengatakan insiden ini membunyikan bel alarm dan pemerintah harus menawarkan bantuan kepada badan-badan publik karena mereka mungkin tidak memiliki sumber daya yang cukup untuk mempekerjakan staf TI internal.
“Pemerintah dapat mempertimbangkan untuk mengembangkan alat dan sistem untuk badan-badan hukum ini. Ini dapat menstandarisasi kualitas keamanan siber lebih baik daripada masing-masing badan yang bekerja sendiri,” katanya.
Chiu juga mengatakan pemerintah dapat mempertimbangkan untuk memperluas skema subsidi untuk usaha kecil dan menengah untuk mencakup pengembangan solusi keamanan siber.
Francis Fong Po-kiu, presiden kehormatan Federasi Teknologi Informasi Hong Kong, mengatakan peretas mungkin telah menyerang sistem dan mengakses informasi melalui celah dalam jaringan dan perangkat lunak keamanan. Dia mendesak dewan dan perusahaan lain untuk menjaga sistem cyber mereka diperbarui dan aman.