时事分析 | 创新及科技发展 | 2018-05-16 | 《信报》

企业网络安全新格局(一):建构现实世界的网络防火墙



在虚拟与现实界线愈来愈模糊的今日,网络上出现个人资料外泄的情况时有所闻。近日香港宽频的客户资料库被黑客入侵,就导致38万用户资料被盗。[1]政府下半年会推出网络安全资讯分享平台,让不同行业分享网络安全资讯,做好提升网络保安的准备。[2]

企业升级网络系统的保安,除了能维护客户资料外,亦能保障自己。因为随着欧盟新法规──《通用数据保障条例》(General Data Protection Regulation,GDPR)在本月25日起正式执行,企业为免坠法网,必须更严格保障客人资料。[3]

GDPR「烧到埋身」 港企难作壁上观

GDPR为个人资料安全与私隐权设立更严格的保障标准,即使企业不在欧盟境内,只要其产品或服务在欧盟销售,并牵涉保存及处理欧盟公民的个人资料,就需要遵守法例,违者将面临巨额罚款,最高达2,000万欧元,或上一个财政年度的全球年度总营业额的2%(以较高者为准)。[4]最近香港个人资料私隐专员公署更发出小册子,希望能提高香港企业对此条例的认识。[5]

GDPR跨越地域,而且规定企业须完善网络安全环境,避免资料被滥用、遭到黑客非法入侵而外泄,或非法分享给无权利使用的第三方。[6]因此由香港生产力促进局管理的香港电脑保安事故协调中心(HKCERT)早前预计,法例会增加有关企业的网络保安压力。[7]

纵无新例 亦不等同可故步自封

GDPR迫使企业更重视网络安全,不过近年愈来愈多保安事故,也警示香港企业需要未雨绸缪,做好提升网络安全的工作。HKCERT过去六年的保安事故报告个案数字一直攀升,从2012年的1,189宗,上升四倍半至2017年的6,506宗。[8]当中恶意软件攻击数目已连续两年增加,较2016年大增79%,至2,041宗,占事故总量三成,并与僵尸网络及钓鱼网站成为最主要的网络事故。[9]

HKCERT预料,物联网攻击和以榨取金钱为目标的网络攻击,数量在今年会有所上升;而流动付款程式盛行,也可能令其成为攻击对象。[10]事实上,旅行社纵横游、大航假期及金怡假期的电脑系统,今年初便遭黑客入侵,令数以万计客户资料被盗。[11]加上外国政府网站被黑客入侵之事时有听闻,可见网络保安已成为香港公私营机构的重大挑战。

香港资讯保安的最新发展

为应对挑战,政府已多管齐下,提升企业及市民在防范和应对网络安全事故方面的整体能力。除了播放宣传讯息,向中小企传达不同范畴的资讯保安知识外,政府资讯科技总监办公室(资科办)亦向公众发布指引作参考之用,包括2016年年底完成修订的《政府资讯科技保安政策及指引》、云端运算服务的保安及采购指引等等。[12]

HKCERT则透过联络本地组织,收集和发放讯息、协调保安事故应变行动,又为本地企业及互联网用户,提供资讯保安事故的消息和防御指引、事故回应及支援服务,并提高它们的保安意识,同时与境外的协调中心交换情报和保持联系。[13]HKCERT又于2016年联同多个本地商会,推出中小企业网站免费保安检查先导计划,为中小企检查公司网站的保安措施及建议改进措施,并在推行措施后验证改进成效。[14]

英政府针对性鼓励企业「Upgrade」网络保安

上述工作固然有助加强企业对网络风险的认知。不过,认知风险与懂得切实地防范风险,却完全是两回事。要鼓励企业提升网络安全,资助是其中一种方法。

2016年在创新及科技基金下以先导形式推出的科技券计划,资助范围便涵盖网络安全方案。[15]这种做法,与英国的Innovation Voucher相似,都是为中小企而设,旨在帮助企业创新、发展及增长。[16]

Innovation Voucher的运作模式,是向企业提供5,000英镑,协助它们推动企业创新,而资助可用于网络安全的专家咨询上。[17]自2015年起,英国政府更另设Cyber Security Innovation Vouchers,让企业申请资助,以寻求专家建议,保护业务免受网络攻击等事件影响。[18]

英国发展资助计划的过程,令人不禁思考,在香港已经有科技劵计划的前提下,是否需要推行一个专为网络安全而设的资助计划,进一步鼓励企业升级系统,以符合全球对网络保安的要求?

推行认证计划 更改招标条件 提高业界意识

当然,大洒金钱资助,并不足以解决问题。除了资助,英国政府亦为网络安全设下标准,结合认证计划及更改招标条件,推动中小企升级,进一步保障社会的网络安全。

具体而言,英国政府与私营公司Information Assurance for Small and Medium Enterprises (IASME)[19]以及非牟利组织Information Security Forum(ISF)[20]合作,推出一套名为‘Cyber Essentials’的网络安全技术标准,协助企业自我评估安全程度。[21]

配合这套标准,英国政府在2014年6月推行Cyber Essentials认证计划[22],供所有企业及组织申请,认证分「入门级」及「加强版」两种。自2014年10月开始,英国政府又要求所有投标政府服务的供应商,必需至少得到「入门级」的认证。[23]今年3月,英国更推出了第一个以Cyber Essentials为核心,并由警方支援的网络安全认证计划,进一步鼓励企业保护数据。[24]

现时,香港政府亦有提供资讯保安标准及最佳作业守则。[25]在网络保安愈受关注的今天,当局是否也需要以认证计划及投标标准等方法,进一步鼓励企业提升网络安全技术,值得社会讨论。

培训网络安全专家 满足未来需求

英国有网络安全公司相信,Cyber Essentials能装备当地企业,应对GDPR的来临。[26]不过,需求剧增亦预示未来对人才的渴求。英国及日本在培训人才上,都有相应的政策及措施。

今年2月,英国推出了一个先导计划Cyber Skills Immediate Impact Fund[27],鼓励机构在内部进行再培训,将部分员工转到网络安全相关的职位,以此增加行业人才。先导计划向注册慈善团体、社企、持续进修教育机构等组织开放,组织必须在收到一万至五万英镑的资金后半年内,做出成绩。[28]

日本的经济产业省与总务省同样积极为终端用户公司及重要基建企业,培训新一代网络安全专家及首席级管理人才。两个部门分别在2017年建立网络安全训练中心,前者主力培训保护主要基础设施营运及讯息技术的专家,后者则多集中在资讯科技研发上。[29]

其中经济产业省设立的Industrial Cybersecurity Center of Excellence,提供了两类课程,分别供职业生涯中期人士和首席级行政人才修读,期望每年能培训出最多100名能够设定网络安全战略草案,并就安全性、技术可行性和成本等考虑因素,选用最好的网络安全解决方案的专业人员。去年2月,中心开始接受申请,超过30间来自汽车、公用设施、铁路、地产业的公司表示有兴趣为员工申请。[30]

总务省则在去年1月发布了2017物联网网络安全行动计划,以加强物联网安全,并为2020年东京奥运做好准备。计划的主要目标之一,是透过建立培训中心,加快培育网络安全人员。去年4月,国立网络训练中心(National Cyber Training Center)成立,并提供课程,目标是每年训练40个25岁以下的学生,在首年已收到359个申请。成功入读的学生可以遥距上课,表现出众的更有机会保送海外继续进修。[31]

英国及日本都积极为网络安全行业寻找新力军,但两者采取了不同的方针。英国的政策目标,主要是希望在短期内训练出一批社会迫切需要的人才;日本的做法则看来更能长远协助从业员迎接网络科技日新月异的挑战。

类似的培训人员方案,香港亦有例子。2016年,金融管理局推出「网络防卫计划」,当中就包括「专业培训计划」,以举办培训和认证计划,为香港培养更多合资格的网络安全专业人才。[32]这个计划以及如HKCERT的资讯安全机构的存在,都表示香港有能力及资源推行如日本或英国的培训计划。

在内地「一带一路」的大蓝图下,可以预估,相关的金融及专业服务等,都会增加网络安全的需求。长远而言,香港可探讨如何在协助本地企业提升网络保安水平的同时,输出这方面人才,把握相关需求带来的机遇。

从资助到设立标准,以至推行认证计划,都有助提升企业对网络安全的关注及水平。随着各种保障法例通过,网络安全渐成趋势,相信亦会增加对相应人才的需求,香港需要作好准备,以增强本地企业的网络安全为目标,并配合未来基建工程对网络安全的巨大需求,持续加强香港长远竞争力。

1 「香港宽频认两疏忽 无加密未离线 提三招补救 3个月内清除旧客资料」。取自信报财经新闻网站:http://www1.hkej.com/dailynews/article/id/1824491,最后更新日期2018年4月24日。
2 「杨德斌称下半年会推出网络安全资讯分享平台」。取自商业电台网站:http://www.881903.com/Page/ZH-TW/newsdetail.aspx?ItemId=1003865&csid=261_341,最后更新日期2018年4月19日。
3 "GDPR Portal: Site Overview," EU General Data Protection Regulation, https://www.eugdpr.org/, accessed March 22, 2018.
4 "GDPR Key Changes," EU General Data Protection Regulation, https://www.eugdpr.org/key-changes.html, accessed March 22, 2018.
5 「香港企业应如何为即将实施的欧盟通用数据保障新条例作好准备」。取自香港个人资料私隐专员公署网站:https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20180403.html,最后更新日期2018年4月3日。
6 「欧盟通用资料保护法案 5 月上路!厂商应如何避免触犯法规?」。取自热新闻网站:http://yes-news.com/73242/欧盟通用资料保护法案-5-月上路厂商应如何避免触犯法规,最后更新日期2018年2月20日。
7 「恶意软件事故去年激增79% 为榨取金钱网络攻击料趋猖獗」。取自香港电脑保安事故协调中心网站:https://www.hkcert.org/my_url/zh/articles/18011801,最后更新日期2018年1月18日。
8 「统计资料」。取自香港电脑保安事故协调中心网站:https://www.hkcert.org/statistics,查询日期2018年3月20日。
9 同7。
10 同7。
11 蔡静心,「【纵横游泄私隐】旅行社存客户资料有几耐?边间keep多过一年?」。取自香港01网站:https://www.hk01.com/article/142623,最后更新日期2018年1月11日;邓咏中,蔡正邦,「【纵横游翻版】入侵大航金怡数据库索比特币 数万客户资料外泄」。取自香港01网站:https://www.hk01.com/article/146489,最后更新日期2018年1月4日。
12 「资讯保安的最新情况」,资讯科技及广播事务委员会,立法会CB(4)577/17-18(03)号文件,2018年2月12日,第2至6页。
13 「使命」。取自香港电脑保安事故协调中心网站:https://www.hkcert.org/mission,查询日期2018年3月20日。
14 「立法会十五题:提升资讯保安的措施」。取自政府新闻公报网站:http://www.info.gov.hk/gia/general/201711/29/P2017112900319.htm,最后更新日期2017年11月29日。
15 同12。
16 "UK Cyber Security: The role of insurance in managing and mitigating the risk," Marsh, March 2015, p. 28.
17 同16。
18 "Cyber security: apply now for business funding," Gov.uk, https://www.gov.uk/government/news/cyber-security-apply-now-for-business-funding, last modified July 30, 2015.
19 "Cyber Essentials Scheme," IASME Consortium, https://www.iasme.co.uk/, accessed April 12, 2018.
20 "About Us," Information Security Forum, https://www.securityforum.org/about/, accessed April 12, 2018.
21 "About," Cyber Essentials, https://www.cyberessentials.ncsc.gov.uk/about.html, accessed April 4, 2018;"Cyber Essentials Scheme: overview," Department for Digital, Culture, Media & Sport, Gov.uk, https://www.gov.uk/government/publications/cyber-essentials-scheme-overview, last modified January 16, 2018.
22 "Cyber Essentials Scheme: overview," Department for Digital, Culture, Media & Sport, Gov.uk, https://www.gov.uk/government/publications/cyber-essentials-scheme-overview, last modified January 16, 2018.
23 "About," Cyber Essentials, https://www.cyberessentials.ncsc.gov.uk/about.html, accessed April 4, 2018.
24 Warwick Ashford, "UK cyber security certification pilot launched," Computer Weekly, https://www.computerweekly.com/news/252436442/UK-cyber-security-certification-pilot-launched, last modified March 8, 2018.
25 「技术参考资料」。取自资讯安全网网站:https://www.infosec.gov.hk/tc_chi/technical/standards.html,最后更新日期2018年1月。
26 Mekhala Roy, "Being Cyber Essentials certified will help prep for GDPR," Tech Target, https://searchcompliance.techtarget.com/blog/IT-Compliance-Advisor/Being-Cyber-Essentials-certified-will-help-prep-for-GDPR, last modified February 9, 2018.
27 "Cyber Security Skills Immediate Impact Fund," Gov.uk, https://www.gov.uk/government/publications/cyber-security-skills-immediate-impact-fund#history, last modified March 2, 2018.
28 "Cyber Skills Immediate Impact Fund (CSIIF) Pilot: Guidance for Applicants," Department for Digital, Culture, Media & Sport, Gov.uk, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/682438/CSIIF_Guidance_for_Applicants.pdf, accessed April 4, 2018, pp. 1 - 4.
29 Mihoko Matsubara, "How Japan Is Aiming to Close the Cybersecurity Skills Gap Before Tokyo 2020," Paloalto Networks, https://researchcenter.paloaltonetworks.com/2017/05/cso-japan-aiming-close-cybersecurity-skills-gap-tokyo-2020/, last modified May 15, 2017.
30 同29。
31 同29。
32「金管局于网络安全高峰会宣布推出网络防卫计划 」。取自香港金融管理局网站:http://www.hkma.gov.hk/chi/key-information/press-releases/2016/20160518-5.shtml,最后更新日期2016年5月18日。