創科瞭望/加強網絡安全 保護關鍵基建\香港創科發展協會創會主席 陳迪源

  圖:全球範圍內針對關鍵基礎設施的網絡攻擊日益頻繁,影響越來越嚴重,香港推動網絡安全生態圈及產業發展確有迫切性。
  圖:全球範圍內針對關鍵基礎設施的網絡攻擊日益頻繁,影響越來越嚴重,香港推動網絡安全生態圈及產業發展確有迫切性。

  現今世界,關鍵基礎設施(Critical Infrastructure)對於維持社會正常運作與國家安全至關重要。香港作為國際創科中心、全球金融中心、世界領先智慧城市,擁有海量高價值數據。也因此,香港為保障關鍵基礎設施立法刻不容緩。

  特區政府近日宣布建議制定《保障關鍵基礎設施(電腦系統)條例草案》。過去數年,也有不少國家,如美國、德國、澳洲、新加坡等通過立法保護關鍵基礎設施和電腦數據。國家也於2021年9月實施《關鍵信息基礎設施安全保護條例》。

  關鍵基礎設施是指,對經濟、公共健康和國家安全至關重要的系統和網絡。香港的條例草案涵蓋能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健,以及通訊和廣播等界別。

  雲服務需求料大增

  隨着技術進步,基礎設施越來越依賴互聯網和電腦系統,這也增加其受到網絡攻擊的風險。全球範圍內針對關鍵基礎設施的網絡攻擊日益頻繁,影響越來越嚴重。2022年,澳洲醫療保險公司和電信公司分別遭到黑客攻擊,導致大量個人資料洩露。2021年,美國燃油運輸管道遭網絡攻擊,造成供應中斷,並引發全國恐慌性搶購。上述事件凸顯了全球網絡安全的重要性,提醒各國政府和企業必須不斷加強防護措施,提升網絡安全意識,以應對日益複雜和多樣化的網絡威脅。

  鑒於難以成功檢控攻擊者,不少國家的立法針對關鍵基礎設施的營運者,若未能妥善處理預防和維護程序,將對其進行處罰。香港的立法建議也不例外,主要內容包括三個方面:

  架構方面,關鍵基礎設施營運者(營運者)須在香港設有地址和辦事處並報告變更,通報基礎設施擁有權和營運權變更,設立專業的電腦系統安全管理部門(自設或外判),由專責主管監管並跟進專責辦公室指示。

  預防方面,營運者須報告關鍵電腦系統的重大變化,制定並提交電腦系統安全管理計劃,每年進行並報告保安風險評估,每兩年進行並報告獨立保安審計,確保第三方系統符合法定要求,不影響保安。

  事故通報及應對方面,營運者需每兩年參與專責辦公室舉行的電腦系統安全演習,制定並提交應急計劃,並在指定時間內報告關鍵電腦系統保安事故:嚴重事故在2小時內,其他事故在24小時內報告。

  特區政府將設立專責辦公室,由保安局及特首委任專員領導,專責監督條例的實施,不合規者將面臨50萬至500萬元的罰款。

  雖然不少大型機構已經滿足或超越這些要求,但中小型機構可能在網絡安全管理能力和資源上有所不足,需要進行技術升級,增強員工的網絡安全意識和技能,制定更嚴格的安全措施。筆者亦預計,基礎設施條例將對雲服務的使用提出更高要求,公有雲未必合乎要求;預料營運者將轉向更安全的私有雲或混合雲服務,以符合新的安全標準,但同時也為業界帶來商機。

  基礎設施條例並不針對一般市民,而是規管營運者,確保他們採取適當措施保護電腦系統安全,從而減少網絡攻擊風險。雖然條例適用於機構,但若違規行為涉及觸犯刑事法例,涉事人員可能需負上個人刑事責任。

  運營數據在地儲存

  在筆者看來,條例草案仍有不少需要釐清的地方,希望特區政府與各界集思廣益。例如,是否需要規定營運者的負責人必須是香港公民,以確保他們充分理解並遵守本地法律和安全要求;同時,加強對關鍵基礎設施的本地控制,減少外部干擾和潛在的安全風險。

  又如,設立專責的安全管理部門是可行的,但需要明確部門職責和資源配置。專責部門需要具備高效管理能力和技術專業知識,以確保網絡安全措施的有效實施。特區政府應設立透明的監督機制和問責制度,確保所有行動和決策都在合理範圍內,滿足市民期望。部門負責人亦需要對最新的網絡安全威脅和技術有深刻理解,能夠制定和實施有效的安全策略。

  再如,營運者需確保外判的第三方服務提供者也要符合相關安全要求,包括安全審查和管理。對於境外服務提供商,特區政府應考慮如何執法,確保其符合香港網絡安全標準,包括數據存儲、訪問控制和事件報告等方面的要求。對於內地服務提供者,特區政府可通過與內地有關部門協調,確保服務提供商在香港的營運符合安全標準,保障用戶數據安全和隱私。

  不過,像WhatsApp此類市民日常使用的境外通訊平台,特區政府須考慮是否要求其在香港設立本地數據中心,遵守香港的數據保護法規,並制定方法要求境外通訊平台定期向香港當局報告安全狀況和事件,確保其服務的安全性和穩定性。

  條例會否對涉及關鍵基礎設施的收購合併設立更嚴格的審查程序,確保安全標準不會因業務變更而降低?此舉可能會影響企業收購合併的速度和成本,但有助於保護關鍵基礎設施的安全。此外,營運者需實施更嚴格的數據保護措施,確保敏感數據在處理和存儲過程中的安全性。

  我們也可以從營運者的角度,來看待營運者適應條例的過程及面臨的挑戰。電力公司需要確保發電廠和配電網絡的網絡安全,以符合新規要求。他們有可能要投入大量資源進行技術升級和安全措施的實施,並進行風險評估和安全演習,確保能源供應的穩定性和安全性。電力公司還需要培訓員工,提高他們的網絡安全意識和應對能力。

  金融產品交易市場需要提升其數據中心和交易系統的安全防護,確保交易系統的穩定運行和數據保護。營運者需加密數據、限制訪問權限、定期安全審查,並提升員工的網絡安全技能,制定詳細的應急計劃以應對安全事件。

  醫院系統需加強醫療記錄系統的保護,以防止病人數據被竊取。營運者需採取先進技術手段保護數據,並確保醫療工作人員了解並遵守新安全規範。這包括提升系統安全性、進行風險評估及制定應急計劃,確保滿足條例要求。

  應對網絡風險挑戰

  特區政府推動關鍵基礎設施立法,對維持社會正常運作和保障國家安全至關重要。加強網絡安全措施、提升風險管理能力和改進事故應對流程,將提高香港整體的網絡安全水平。各界持份者應積極參與立法過程,同時為適應條例做好準備。

  特區政府宜聆聽各界聲音,監察不斷變化的網絡安全形勢,在條例中留有可調整的空間,使其具備靈活性和活力。對於來自海外和內地的服務提供商,特區政府應制定明確要求,確保其在香港的營運符合本地網絡安全標準,保護公眾利益和國家安全。

  此外,香港應加快更新《個人資料(私隱)條例》,並制定與《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》相匹配的相關法例。透過這種全面保護措施,香港將能更加有效應對未來網絡安全挑戰,確保關鍵基礎設施的安全性和穩定性。

  《保障關鍵基礎設施(電腦系統)條例草案》要旨

  ●保障維持香港社會必需服務攸關或重要的社會和經濟活動的關鍵基礎設施。\&

  ●規管關鍵基礎設施營運者,即大機構,不影響中小企及一般市民。\&

  ●營運者需承擔保護其「關鍵電腦系統」的責任,不涉及系統內個人資料和業務內容。\&

  ●絕不影響市民大眾使用網絡及電腦的自由。\&