時事分析 | 創新及科技發展 | 2018-05-16 | 《信報》

企業網絡安全新格局(一):建構現實世界的網絡防火牆



在虛擬與現實界線愈來愈模糊的今日,網絡上出現個人資料外洩的情況時有所聞。近日香港寬頻的客戶資料庫被黑客入侵,就導致38萬用戶資料被盜。[1]政府下半年會推出網絡安全資訊分享平台,讓不同行業分享網絡安全資訊,做好提升網絡保安的準備。[2]

企業升級網絡系統的保安,除了能維護客戶資料外,亦能保障自己。因為隨着歐盟新法規──《通用數據保障條例》(General Data Protection Regulation,GDPR)在本月25日起正式執行,企業為免墜法網,必須更嚴格保障客人資料。[3]

GDPR「燒到埋身」 港企難作壁上觀

GDPR為個人資料安全與私隱權設立更嚴格的保障標準,即使企業不在歐盟境內,只要其產品或服務在歐盟銷售,並牽涉保存及處理歐盟公民的個人資料,就需要遵守法例,違者將面臨巨額罰款,最高達2,000萬歐元,或上一個財政年度的全球年度總營業額的2%(以較高者為準)。[4]最近香港個人資料私隱專員公署更發出小冊子,希望能提高香港企業對此條例的認識。[5]

GDPR跨越地域,而且規定企業須完善網絡安全環境,避免資料被濫用、遭到黑客非法入侵而外洩,或非法分享給無權利使用的第三方。[6]因此由香港生產力促進局管理的香港電腦保安事故協調中心(HKCERT)早前預計,法例會增加有關企業的網絡保安壓力。[7]

縱無新例 亦不等同可故步自封

GDPR迫使企業更重視網絡安全,不過近年愈來愈多保安事故,也警示香港企業需要未雨綢繆,做好提升網絡安全的工作。HKCERT過去六年的保安事故報告個案數字一直攀升,從2012年的1,189宗,上升四倍半至2017年的6,506宗。[8]當中惡意軟件攻擊數目已連續兩年增加,較2016年大增79%,至2,041宗,佔事故總量三成,並與殭屍網絡及釣魚網站成為最主要的網絡事故。[9]

HKCERT預料,物聯網攻擊和以榨取金錢為目標的網絡攻擊,數量在今年會有所上升;而流動付款程式盛行,也可能令其成為攻擊對象。[10]事實上,旅行社縱橫遊、大航假期及金怡假期的電腦系統,今年初便遭黑客入侵,令數以萬計客戶資料被盜。[11]加上外國政府網站被黑客入侵之事時有聽聞,可見網絡保安已成為香港公私營機構的重大挑戰。

香港資訊保安的最新發展

為應對挑戰,政府已多管齊下,提升企業及市民在防範和應對網絡安全事故方面的整體能力。除了播放宣傳訊息,向中小企傳達不同範疇的資訊保安知識外,政府資訊科技總監辦公室(資科辦)亦向公眾發布指引作參考之用,包括2016年年底完成修訂的《政府資訊科技保安政策及指引》、雲端運算服務的保安及採購指引等等。[12]

HKCERT則透過聯絡本地組織,收集和發放訊息、協調保安事故應變行動,又為本地企業及互聯網用戶,提供資訊保安事故的消息和防禦指引、事故回應及支援服務,並提高它們的保安意識,同時與境外的協調中心交換情報和保持聯繫。[13]HKCERT又於2016年聯同多個本地商會,推出中小企業網站免費保安檢查先導計劃,為中小企檢查公司網站的保安措施及建議改進措施,並在推行措施後驗證改進成效。[14]

英政府針對性鼓勵企業「Upgrade」網絡保安

上述工作固然有助加強企業對網絡風險的認知。不過,認知風險與懂得切實地防範風險,卻完全是兩回事。要鼓勵企業提升網絡安全,資助是其中一種方法。

2016年在創新及科技基金下以先導形式推出的科技券計劃,資助範圍便涵蓋網絡安全方案。[15]這種做法,與英國的Innovation Voucher相似,都是為中小企而設,旨在幫助企業創新、發展及增長。[16]

Innovation Voucher的運作模式,是向企業提供5,000英鎊,協助它們推動企業創新,而資助可用於網絡安全的專家諮詢上。[17]自2015年起,英國政府更另設Cyber Security Innovation Vouchers,讓企業申請資助,以尋求專家建議,保護業務免受網絡攻擊等事件影響。[18]

英國發展資助計劃的過程,令人不禁思考,在香港已經有科技劵計劃的前提下,是否需要推行一個專為網絡安全而設的資助計劃,進一步鼓勵企業升級系統,以符合全球對網絡保安的要求?

推行認證計劃 更改招標條件 提高業界意識

當然,大灑金錢資助,並不足以解決問題。除了資助,英國政府亦為網絡安全設下標準,結合認證計劃及更改招標條件,推動中小企升級,進一步保障社會的網絡安全。

具體而言,英國政府與私營公司Information Assurance for Small and Medium Enterprises (IASME)[19]以及非牟利組織Information Security Forum(ISF)[20]合作,推出一套名為‘Cyber Essentials’的網絡安全技術標準,協助企業自我評估安全程度。[21]

配合這套標準,英國政府在2014年6月推行Cyber Essentials認證計劃[22],供所有企業及組織申請,認證分「入門級」及「加強版」兩種。自2014年10月開始,英國政府又要求所有投標政府服務的供應商,必需至少得到「入門級」的認證。[23]今年3月,英國更推出了第一個以Cyber Essentials為核心,並由警方支援的網絡安全認證計劃,進一步鼓勵企業保護數據。[24]

現時,香港政府亦有提供資訊保安標準及最佳作業守則。[25]在網絡保安愈受關注的今天,當局是否也需要以認證計劃及投標標準等方法,進一步鼓勵企業提升網絡安全技術,值得社會討論。

培訓網絡安全專家 滿足未來需求

英國有網絡安全公司相信,Cyber Essentials能裝備當地企業,應對GDPR的來臨。[26]不過,需求劇增亦預示未來對人才的渴求。英國及日本在培訓人才上,都有相應的政策及措施。

今年2月,英國推出了一個先導計劃Cyber Skills Immediate Impact Fund[27],鼓勵機構在內部進行再培訓,將部分員工轉到網絡安全相關的職位,以此增加行業人才。先導計劃向註冊慈善團體、社企、持續進修教育機構等組織開放,組織必須在收到一萬至五萬英鎊的資金後半年內,做出成績。[28]

日本的經濟產業省與總務省同樣積極為終端用戶公司及重要基建企業,培訓新一代網絡安全專家及首席級管理人才。兩個部門分別在2017年建立網絡安全訓練中心,前者主力培訓保護主要基礎設施營運及訊息技術的專家,後者則多集中在資訊科技研發上。[29]

其中經濟產業省設立的Industrial Cybersecurity Center of Excellence,提供了兩類課程,分別供職業生涯中期人士和首席級行政人才修讀,期望每年能培訓出最多100名能夠設定網絡安全戰略草案,並就安全性、技術可行性和成本等考慮因素,選用最好的網絡安全解決方案的專業人員。去年2月,中心開始接受申請,超過30間來自汽車、公用設施、鐵路、地產業的公司表示有興趣為員工申請。[30]

總務省則在去年1月發布了2017物聯網網絡安全行動計劃,以加強物聯網安全,並為2020年東京奧運做好準備。計劃的主要目標之一,是透過建立培訓中心,加快培育網絡安全人員。去年4月,國立網絡訓練中心(National Cyber Training Center)成立,並提供課程,目標是每年訓練40個25歲以下的學生,在首年已收到359個申請。成功入讀的學生可以遙距上課,表現出眾的更有機會保送海外繼續進修。[31]

英國及日本都積極為網絡安全行業尋找新力軍,但兩者採取了不同的方針。英國的政策目標,主要是希望在短期內訓練出一批社會迫切需要的人才;日本的做法則看來更能長遠協助從業員迎接網絡科技日新月異的挑戰。

類似的培訓人員方案,香港亦有例子。2016年,金融管理局推出「網絡防衛計劃」,當中就包括「專業培訓計劃」,以舉辦培訓和認證計劃,為香港培養更多合資格的網絡安全專業人才。[32]這個計劃以及如HKCERT的資訊安全機構的存在,都表示香港有能力及資源推行如日本或英國的培訓計劃。

在內地「一帶一路」的大藍圖下,可以預估,相關的金融及專業服務等,都會增加網絡安全的需求。長遠而言,香港可探討如何在協助本地企業提升網絡保安水平的同時,輸出這方面人才,把握相關需求帶來的機遇。

從資助到設立標準,以至推行認證計劃,都有助提升企業對網絡安全的關注及水平。隨着各種保障法例通過,網絡安全漸成趨勢,相信亦會增加對相應人才的需求,香港需要作好準備,以增強本地企業的網絡安全為目標,並配合未來基建工程對網絡安全的巨大需求,持續加強香港長遠競爭力。

1 「香港寬頻認兩疏忽 無加密未離線 提三招補救 3個月內清除舊客資料」。取自信報財經新聞網站:http://www1.hkej.com/dailynews/article/id/1824491,最後更新日期2018年4月24日。
2 「楊德斌稱下半年會推出網絡安全資訊分享平台」。取自商業電台網站:http://www.881903.com/Page/ZH-TW/newsdetail.aspx?ItemId=1003865&csid=261_341,最後更新日期2018年4月19日。
3 "GDPR Portal: Site Overview," EU General Data Protection Regulation, https://www.eugdpr.org/, accessed March 22, 2018.
4 "GDPR Key Changes," EU General Data Protection Regulation, https://www.eugdpr.org/key-changes.html, accessed March 22, 2018.
5 「香港企業應如何為即將實施的歐盟通用數據保障新條例作好準備」。取自香港個人資料私隱專員公署網站:https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20180403.html,最後更新日期2018年4月3日。
6 「歐盟通用資料保護法案 5 月上路!廠商應如何避免觸犯法規?」。取自熱新聞網站:http://yes-news.com/73242/歐盟通用資料保護法案-5-月上路廠商應如何避免觸犯法規,最後更新日期2018年2月20日。
7 「惡意軟件事故去年激增79% 為榨取金錢網絡攻擊料趨猖獗」。取自香港電腦保安事故協調中心網站:https://www.hkcert.org/my_url/zh/articles/18011801,最後更新日期2018年1月18日。
8 「統計資料」。取自香港電腦保安事故協調中心網站:https://www.hkcert.org/statistics,查詢日期2018年3月20日。
9 同7。
10 同7。
11 蔡靜心,「【縱橫遊洩私隱】旅行社存客戶資料有幾耐?邊間keep多過一年?」。取自香港01網站:https://www.hk01.com/article/142623,最後更新日期2018年1月11日;鄧詠中,蔡正邦,「【縱橫遊翻版】入侵大航金怡數據庫索比特幣 數萬客戶資料外洩」。取自香港01網站:https://www.hk01.com/article/146489,最後更新日期2018年1月4日。
12 「資訊保安的最新情況」,資訊科技及廣播事務委員會,立法會CB(4)577/17-18(03)號文件,2018年2月12日,第2至6頁。
13 「使命」。取自香港電腦保安事故協調中心網站:https://www.hkcert.org/mission,查詢日期2018年3月20日。
14 「立法會十五題:提升資訊保安的措施」。取自政府新聞公報網站:http://www.info.gov.hk/gia/general/201711/29/P2017112900319.htm,最後更新日期2017年11月29日。
15 同12。
16 "UK Cyber Security: The role of insurance in managing and mitigating the risk," Marsh, March 2015, p. 28.
17 同16。
18 "Cyber security: apply now for business funding," Gov.uk, https://www.gov.uk/government/news/cyber-security-apply-now-for-business-funding, last modified July 30, 2015.
19 "Cyber Essentials Scheme," IASME Consortium, https://www.iasme.co.uk/, accessed April 12, 2018.
20 "About Us," Information Security Forum, https://www.securityforum.org/about/, accessed April 12, 2018.
21 "About," Cyber Essentials, https://www.cyberessentials.ncsc.gov.uk/about.html, accessed April 4, 2018;"Cyber Essentials Scheme: overview," Department for Digital, Culture, Media & Sport, Gov.uk, https://www.gov.uk/government/publications/cyber-essentials-scheme-overview, last modified January 16, 2018.
22 "Cyber Essentials Scheme: overview," Department for Digital, Culture, Media & Sport, Gov.uk, https://www.gov.uk/government/publications/cyber-essentials-scheme-overview, last modified January 16, 2018.
23 "About," Cyber Essentials, https://www.cyberessentials.ncsc.gov.uk/about.html, accessed April 4, 2018.
24 Warwick Ashford, "UK cyber security certification pilot launched," Computer Weekly, https://www.computerweekly.com/news/252436442/UK-cyber-security-certification-pilot-launched, last modified March 8, 2018.
25 「技術參考資料」。取自資訊安全網網站:https://www.infosec.gov.hk/tc_chi/technical/standards.html,最後更新日期2018年1月。
26 Mekhala Roy, "Being Cyber Essentials certified will help prep for GDPR," Tech Target, https://searchcompliance.techtarget.com/blog/IT-Compliance-Advisor/Being-Cyber-Essentials-certified-will-help-prep-for-GDPR, last modified February 9, 2018.
27 "Cyber Security Skills Immediate Impact Fund," Gov.uk, https://www.gov.uk/government/publications/cyber-security-skills-immediate-impact-fund#history, last modified March 2, 2018.
28 "Cyber Skills Immediate Impact Fund (CSIIF) Pilot: Guidance for Applicants," Department for Digital, Culture, Media & Sport, Gov.uk, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/682438/CSIIF_Guidance_for_Applicants.pdf, accessed April 4, 2018, pp. 1 - 4.
29 Mihoko Matsubara, "How Japan Is Aiming to Close the Cybersecurity Skills Gap Before Tokyo 2020," Paloalto Networks, https://researchcenter.paloaltonetworks.com/2017/05/cso-japan-aiming-close-cybersecurity-skills-gap-tokyo-2020/, last modified May 15, 2017.
30 同29。
31 同29。
32「金管局於網絡安全高峰會宣布推出網絡防衛計劃 」。取自香港金融管理局網站:http://www.hkma.gov.hk/chi/key-information/press-releases/2016/20160518-5.shtml,最後更新日期2016年5月18日。