專家倡借鑑內地完善法規 做好安全事故應急

網絡安全是社會安穩的基石，是國家安全的重要一環，香港特區政府預計在今年下半年度向立法會提交網絡安全（關鍵基礎設施）條例草案，藉立法加強相關守護工作。致力推動香港與內地網絡安全及產業標準制定的資深網絡安全專家葉青陽近日接受香港文匯報專訪時表示，網絡攻擊對社會的破壞可大可小，不容小覷，然而香港一直未有相關法規，令本地企業的網絡安全意識低下，大小事故連連。他期望特區政府借鑑內地和其他國家及地區的做法，有序立法保障重要基礎設施免遭黑客攻擊，並應為不同行業量身訂製合適網絡安全指引、標準，讓社會各界做好風險評估、數據審核、安全事故應急、攻防演練等，讓各界防患未然，提高警惕，以達至萬無一失。◆香港文匯報記者 黃子晉、姜嘉軒

香港黑客勒索嚴重事故近年接二連三，如數碼港去年遭黑客入侵，逾1.3萬名員工和求職者個人資料外洩。葉青陽說，無論政府部門或私人企業都會以互聯網為市民或客戶提供服務，譬如預約公立醫院覆診、訂機票、管理銀行戶口等，都離不開手機應用程式，然而全球網絡入侵日益猖獗，小至個人私隱或財產失竊，大到讓金融、供電、供水系統出現停頓，忽視網絡安全的後果堪虞。

「網絡攻擊不像搶劫等傳統犯罪，黑客有諸多隱身手段，就算是執法部門的專家，很多時亦難找到入侵源頭，破案極難。」他說。

葉青陽指出，內地、澳門以至很多其他國家及地區早已完善維護網絡安全的法例和措施。例如內地多個省市的政府都會安排「紅隊」到一些重要企業或機構進行系統滲透測試，模擬現實世界的黑客攻擊，要求企業或機構評估漏、找出防禦方法等，倘入侵成功，重則甚至可能罰款，而有關訓練對提升網絡安全非常高效。「正如若打機要打得厲害，最起碼一定要打得多。」

然而，香港相關法規多年來一直有待完善，「雖然金融業有金管局清晰制訂的嚴謹網絡安全指引，但電訊公司、旅行社等很多需要處理大量個人私隱的行業，仍缺乏嚴謹的網絡安全指引和監管。在沒有法例監管下，很多香港企業的網絡安全意識低下，常出現員工按錯黑客連結的『低級錯誤』，引發各類型影響嚴重的入侵事故。」

企業賺逾億 僅花數千元防毒

葉青陽直言，不少香港公司就算每年有逾億元收入，在進行數據安全預算時只考慮會不會帶來投資回報，甚至可能每年僅花數千元來買防毒軟件，投入資源與公司規模不成正比，網絡安全漏洞百出。

在中美角力下，現今國際地緣政治關係複雜多變，葉青陽說，本港一些大型企業近年因此更關注提升網絡安全。例如協會得悉一些從事大型地產發展的會員，近年對過去採用了歐美品牌網絡安全產品的內地項目有所擔憂，擔心有關設備會否有「後門（Backdoor）」。從業界的認知，網絡安全產品的確可能會有『後門』，只是很難去證實。「為有備無患，我們通常會建議在處理比較敏感的部門資料或數據儲存時，盡量避免選用某些國家的產品。」

他強調，現時大灣區內地城市的企業和機構，一般都會選用內地製的網絡安全產品，但反觀香港的企業和機構，則可能習慣選用歐美或者以色列等品牌，甚至去年更有報道指出，有特區政府部門曾在涉及伺服器防火牆的招標文件中列明，有關防火牆必須符合美國ICSA認證標準，然而在中美貿易戰下，幾乎再無內地製的防火牆可獲該認證，變相投標無望。

盼制定標準接軌內地聯通世界

「世界各地涉及網絡安全的標準各有不同，協會已成立有關獨立委員會，希望凝聚各界持份者意見，支持特區政府為香港探討制訂一套能接軌內地、聯通世界的網絡安全標準，為各行業量身訂製合適指引，維護好網絡安全，有利內地與香港協同發展，同時確保法規不會影響在港外資企業、創科業界的業務。」