在數碼化時代,數據推動各項業務發展,成為社會產業建設的基礎,網絡一旦受到攻擊,就會造成相關業務甚至產業停擺。隨着政府、公共服務機構和基礎設施部門成為勒索軟件等惡意程式的攻擊目標,其影響力與破壞力也不斷增加,網絡安全不再局限於個別企業的自身防護,開始成為涉及產業鏈以至國家安全的重要問題,故此全球多國均制訂網絡安全法案,安全合規不但成為企業「必修課」,網絡安全更被許多國家提升至頂層戰略高度。

美國白宮去年發布《國家安全戰略中期指導方針》,將提升網絡安全作為美國政府首要任務,並建立新的網絡空間安全和新興技術局,推動網絡安全國際間協作。澳洲政府前年也制訂網絡安全戰略,計劃投資16.7億美元(約131億港元)建立新的網絡安全和執法能力。

美澳強制企業上報安全事故

在從宏觀監管角度治理網絡安全問題時,落實安全事故強制報告制度,已被多國以法律法規形式加以確認。美國證券交易委員會在2011年已要求上市公司,必須上報網絡安全事故及數據洩露事件,否則面臨調查。今年3月,美國眾議院通過《關鍵基礎設施網絡事件報告》法案,要求關鍵基礎設施所有者和運營商,需向網絡安全和基礎設施安全局報告網絡事件及勒索軟件付款。至今全美50州中,大多數已頒布相關法令,要求機構在發生個人信息數據洩露事件時及時通知用戶。

愛爾蘭禁擅用被盜數據

澳洲《2018年關鍵基礎設施安全法案》修正案於去年12月正式生效,引入網絡安全事件強制性報告義務,要求責任實體須在意識到網絡事件對關鍵基礎設施資產可用性產生「重大影響」後的12小時內報告。

此外,近年部分國家也嘗試從立法角度對相關企業支付贖金、提供支付渠道、傳播被盜數據等行為加以限制。前年10月,美國財政部國外資產控制辦公室發布公告表示,通過援引《國際緊急經濟許可權法》與《禁止與敵國貿易法》,與法律禁止的對象進行交易可能會被追究民事責任。向受害者提供支付給勒索軟件贖金渠道的公司,也需考慮自身是否具有金融犯罪執法網所規定的監督義務。

愛爾蘭衞生服務系統(HSE)去年5月遭Conti勒索軟件攻擊,影響多家醫院運作,HSE其後表示收到攻擊者給出的勒索金額,但「根據國家政策」不會支付贖金。隨後部分被竊的患者機密信息被公布在安全防護網站VirusTotal上,HSE之後獲法院頒令,要求禁止對被盜數據進行任何形式的處理、發布、共享或銷售行為。

歐盟推高額行政罰款

隨着各國對數據安全重視程度的不斷提升,企業須滿足嚴格合規要求,否則面臨高額行政罰款。愛爾蘭數據保護委員會3月宣布,由於Facebook(Fb)的母公司Meta違反歐盟《通用數據保護條例》,對其處以1,700萬歐元(約1.4億港元)罰款。 ◆綜合報道