黃錦輝：黑客屢侵公營機構 4建議提升資訊安全

【明報文章】最近本港公營機構的電腦系統接連遭黑客入侵，大量內部機密資料被盜，繼而被勒索巨款，事件影響外界對香港打造成為區內數碼經濟樞紐的信心。有人怪責政府，批評當局保護不力。政府資訊科技總監辦公室（OGCIO）就事件出來解釋，指政府主要負責政府內部電腦保安，公私營機構自身有責任保護資料系統及數據，但就是次事件，已主動向相關機構提供支援。

公營機構不能自保 政府責無旁貸

筆者認同OGCIO說法，公私營機構自身有網絡保安責任。以大學校園保安為例，大學是公營機構，而校園內設有自己的保安隊，在可控範圍內，警察是不會插手校內保安事務；大學網絡及電腦系統也是，一般毋須政府干預。所以從保安操作層面看，筆者認為是次入侵事件全非政府過失。雖然如此，公營機構不能自保是不爭的事實，政府責無旁貸，不過問題究竟出在哪裏呢？

公營機構如消委會的財政資源，由政府撥發；就此，公營機構會因應自己每年的開支預算向政府提交財務預算案。資訊科技是其中一項經常開支，例如買電腦、聘請員工等，惟若涉及金額較大的系統開發，便要額外申請，會否批核往往是未知之數。

近期頻發黑客入侵事件，反映出機構必須加大資訊科技開支預算，特別是在網絡和資訊安全範疇上更不容有失。然而，它們一般都並非科技專業機構，內部資訊科技團隊規模偏小。正因如此，面對防不勝防的國際黑客難免會不敵攻擊，最終成為受害者；缺乏適當知識和資源的機構，其安全風險更高，沒有足夠技術和資源的情况下實在難以自保。

資科辦安全標準高

公營機構或難落實

儘管本港設有電腦保安事故協調中心，為香港公私營機構提供資訊保安事故的消息和防禦指引、事故回應及支援服務，然而顧名思義，該中心主要聚焦在「事故協調」，未必能為公營機構設計電腦保安系統方案出謀獻策。

再者，OGCIO亦制定了一套資訊科技保安政策、標準、程序及相關指引，供政府各政策局、部門及有關機構使用，當中包括《基準資訊科技保安政策》、《資訊科技保安指引》、《保安風險評估及審計實務指引》和《資訊保安事故處理實務指引》。理論上公營機構可參考這些文件，自行建立資訊保安架構和作業模式。惟政府訂下的安全標準實在十分高，對一些資源短缺的公營機構而言，可能難以全面落實，因而構成風險。

適逢政府正就今年施政報告諮詢意見，就上述問題，筆者有以下建議：

（1）鑑於近期多次黑客入侵事故，政府應該為所有公營機構做資訊安全「體檢」，以清除潛在風險，提升它們系統的安全性，並把「體檢」工作常規化，定期執行；

（2）當局制訂指引，要求公營機構設立資訊安全委員會，邀請相關專家參加，定期審視機構在資訊安全管理、監督及協調的表現，並為資訊安全有關的管理制度、防禦設施、培訓教育、檢查監督等工作提供建議，以及協助機構規劃每年資訊安全策略和開支；

（3）加強各政策局的資訊安全意識，加大力度支援轄下公營機構的相關工作。

設數據局 建管治系統

筆者進一步建議特區政府參考新加坡政府的做法。新加坡總理於2019年成立了公共部門資料安全審查委員會（Public Sector Data Security Review Committee），以審查政府如何確保和保護公民數據，促進落實其「智慧國家」倡議（Smart Nation initiative）。當地政府於2020年更投放10億新加坡元，來加強國家網絡和數據安全。特區政府可參考成立類似委員會，不過更理想的做法是早日設立「數據局」，建立數據管治系統，與國家數據局緊密對接，一方面推動本港數碼經濟發展，另一方面配合國家的資訊安全工作，防止國際黑客猖獗的入侵行為，為維護國家安全作出貢獻。

作者是立法會議員、中大工程學院副院長（外務）

（本網發表的時事文章若提出批評，旨在指出相關制度、政策或措施存在錯誤或缺點，目的是促使矯正或消除這些錯誤或缺點，循合法途徑予以改善，絕無意圖煽動他人對政府或其他社群產生憎恨、不滿或敵意）

[黃錦輝]