最近本港公營機構的電腦系統接連遭黑客入侵,大量內部機密資料被盜,繼而被勒索巨款,事件影響外界對香港打造成為區內數碼經濟樞紐的信心。有人怪責政府,批評當局保護不力。政府資訊科技總監辦公室(OGCIO)就事件出來解釋,指政府主要負責政府內部電腦保安,公私營機構自身有責任保護資料系統及數據,但就是次事件,已主動向相關機構提供支援。
公營機構不能自保 政府責無旁貸
筆者認同OGCIO說法,公私營機構自身有網絡保安責任。以大學校園保安為例,大學是公營機構,而校園內設有自己的保安隊,在可控範圍內,警察是不會插手校內保安事務;大學網絡及電腦系統也是,一般毋須政府干預。所以從保安操作層面看,筆者認為是次入侵事件全非政府過失。雖然如此,公營機構不能自保是不爭的事實,政府責無旁貸,不過問題究竟出在哪裏呢?
公營機構如消委會的財政資源,由政府撥發;就此,公營機構會因應自己每年的開支預算向政府提交《財務預算案》。資訊科技是其中一項經常開支,例如買電腦、聘請員工等,唯若涉及金額較大的系統開發,便要額外申請,會否批核往往是未知之數。
近期頻發黑客入侵事件,反映出機構必須加大資訊科技開支預算,特別是在網絡和資訊安全範疇上更不容有失。然而,它們一般都並非科技專業機構,內部資訊科技團隊規模偏小。正因如此,面對防不勝防的國際黑客難免會不敵攻擊,最終成為受害者;缺乏適當知識和資源的機構,其安全風險更高,沒有足夠技術和資源的情况下實在難以自保。
資科辦安全標準高 公營機構或難落實
儘管本港設有電腦保安事故協調中心,為香港公私營機構提供資訊保安事故的消息和防禦指引、事故回應及支援服務,然而顧名思義,該中心主要聚焦在「事故協調」,未必能為公營機構設計電腦保安系統方案出謀獻策。
再者,OGCIO亦制定了一套資訊科技保安政策、標準、程序及相關指引,供政府各政策局、部門及有關機構使用,當中包括《基準資訊科技保安政策》、《資訊科技保安指引》、《保安風險評估及審計實務指引》和《資訊保安事故處理實務指引》。理論上公營機構可參考這些文件,自行建立資訊保安架構和作業模式。唯政府訂下的安全標準實在十分高,對一些資源短缺的公營機構而言,可能難以全面落實,因而構成風險。
適逢政府正就今年《施政報告》諮詢意見,就上述問題,筆者有以下建議:
(1)鑑於近期多次黑客入侵事故,政府應該為所有公營機構做資訊安全「體檢」,以清除潛在風險,提升它們系統的安全性,並把「體檢」工作常規化,定期執行;
(2)當局制訂指引,要求公營機構設立資訊安全委員會,邀請相關專家參加,定期審視機構在資訊安全管理、監督及協調的表現,並為資訊安全有關的管理制度、防禦設施、培訓教育、檢查監督等工作提供建議,以及協助機構規劃每年資訊安全策略和開支;
(3)加強各政策局的資訊安全意識,加大力度支援轄下公營機構的相關工作。
設數據局 建管治系統
筆者進一步建議特區政府參考新加坡政府的做法。新加坡總理於2019年成立了公共部門資料安全審查委員會(Public Sector Data Security Review Committee),以審查政府如何確保和保護公民數據,促進落實其「智慧國家」倡議(Smart Nation initiative)。當地政府於2020年更投放10億新加坡元,來加強國家網絡和數據安全。特區政府可參考成立類似委員會,不過更理想的做法是早日設立「數據局」,建立數據管治系統,與國家數據局緊密對接,一方面推動本港數碼經濟發展,另一方面配合國家的資訊安全工作,防止國際黑客猖獗的入侵行為,為維護國家安全作出貢獻。
原刊於《明報》,本社獲作者授權轉載。