圖:全球范圍內(nèi)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊日益頻繁�,影響越來越嚴(yán)重,香港推動(dòng)網(wǎng)絡(luò)安全生態(tài)圈及產(chǎn)業(yè)發(fā)展確有迫切性����。
現(xiàn)今世界�,關(guān)鍵基礎(chǔ)設(shè)施(Critical Infrastructure)對(duì)于維持社會(huì)正常運(yùn)作與國家安全至關(guān)重要���。香港作為國際創(chuàng)科中心�、全球金融中心���、世界領(lǐng)先智慧城市����,擁有海量高價(jià)值數(shù)據(jù)�。也因此,香港為保障關(guān)鍵基礎(chǔ)設(shè)施立法刻不容緩�����。
特區(qū)政府近日宣布建議制定《保障關(guān)鍵基礎(chǔ)設(shè)施(電腦系統(tǒng))條例草案》�。過去數(shù)年,也有不少國家���,如美國�、德國、澳洲、新加坡等通過立法保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和電腦數(shù)據(jù)�����。國家也于2021年9月實(shí)施《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》。
關(guān)鍵基礎(chǔ)設(shè)施是指��,對(duì)經(jīng)濟(jì)�����、公共健康和國家安全至關(guān)重要的系統(tǒng)和網(wǎng)絡(luò)�。香港的條例草案涵蓋能源、資訊科技����、銀行和金融服務(wù)、陸上交通����、航空交通、海運(yùn)�、醫(yī)療保健,以及通訊和廣播等界別��。
云服務(wù)需求料大增
隨著技術(shù)進(jìn)步�����,基礎(chǔ)設(shè)施越來越依賴互聯(lián)網(wǎng)和電腦系統(tǒng),這也增加其受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)���。全球范圍內(nèi)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊日益頻繁��,影響越來越嚴(yán)重���。2022年,澳洲醫(yī)療保險(xiǎn)公司和電信公司分別遭到黑客攻擊��,導(dǎo)致大量個(gè)人資料洩露�����。2021年��,美國燃油運(yùn)輸管道遭網(wǎng)絡(luò)攻擊�����,造成供應(yīng)中斷���,并引發(fā)全國恐慌性搶購���。上述事件凸顯了全球網(wǎng)絡(luò)安全的重要性�,提醒各國政府和企業(yè)必須不斷加強(qiáng)防護(hù)措施����,提升網(wǎng)絡(luò)安全意識(shí)���,以應(yīng)對(duì)日益復(fù)雜和多樣化的網(wǎng)絡(luò)威脅�。
鑒于難以成功檢控攻擊者�����,不少國家的立法針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的營運(yùn)者�����,若未能妥善處理預(yù)防和維護(hù)程序�����,將對(duì)其進(jìn)行處罰�。香港的立法建議也不例外,主要內(nèi)容包括三個(gè)方面:
架構(gòu)方面�����,關(guān)鍵基礎(chǔ)設(shè)施營運(yùn)者(營運(yùn)者)須在香港設(shè)有地址和辦事處并報(bào)告變更,通報(bào)基礎(chǔ)設(shè)施擁有權(quán)和營運(yùn)權(quán)變更��,設(shè)立專業(yè)的電腦系統(tǒng)安全管理部門(自設(shè)或外判)�����,由專責(zé)主管監(jiān)管并跟進(jìn)專責(zé)辦公室指示�����。
預(yù)防方面�����,營運(yùn)者須報(bào)告關(guān)鍵電腦系統(tǒng)的重大變化��,制定并提交電腦系統(tǒng)安全管理計(jì)劃�,每年進(jìn)行并報(bào)告保安風(fēng)險(xiǎn)評(píng)估,每兩年進(jìn)行并報(bào)告獨(dú)立保安審計(jì)�����,確保第三方系統(tǒng)符合法定要求��,不影響保安。
事故通報(bào)及應(yīng)對(duì)方面���,營運(yùn)者需每兩年參與專責(zé)辦公室舉行的電腦系統(tǒng)安全演習(xí)�����,制定并提交應(yīng)急計(jì)劃�����,并在指定時(shí)間內(nèi)報(bào)告關(guān)鍵電腦系統(tǒng)保安事故:嚴(yán)重事故在2小時(shí)內(nèi),其他事故在24小時(shí)內(nèi)報(bào)告����。
特區(qū)政府將設(shè)立專責(zé)辦公室,由保安局及特首委任專員領(lǐng)導(dǎo)��,專責(zé)監(jiān)督條例的實(shí)施�����,不合規(guī)者將面臨50萬至500萬元的罰款�����。
雖然不少大型機(jī)構(gòu)已經(jīng)滿足或超越這些要求,但中小型機(jī)構(gòu)可能在網(wǎng)絡(luò)安全管理能力和資源上有所不足����,需要進(jìn)行技術(shù)升級(jí),增強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)和技能�����,制定更嚴(yán)格的安全措施�。筆者亦預(yù)計(jì),基礎(chǔ)設(shè)施條例將對(duì)云服務(wù)的使用提出更高要求��,公有云未必合乎要求��;預(yù)料營運(yùn)者將轉(zhuǎn)向更安全的私有云或混合云服務(wù)�����,以符合新的安全標(biāo)準(zhǔn)�����,但同時(shí)也為業(yè)界帶來商機(jī)�。
基礎(chǔ)設(shè)施條例并不針對(duì)一般市民,而是規(guī)管營運(yùn)者����,確保他們采取適當(dāng)措施保護(hù)電腦系統(tǒng)安全�����,從而減少網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)�。雖然條例適用于機(jī)構(gòu)�,但若違規(guī)行為涉及觸犯刑事法例,涉事人員可能需負(fù)上個(gè)人刑事責(zé)任�。
運(yùn)營數(shù)據(jù)在地儲(chǔ)存
在筆者看來,條例草案仍有不少需要厘清的地方�,希望特區(qū)政府與各界集思廣益���。例如�,是否需要規(guī)定營運(yùn)者的負(fù)責(zé)人必須是香港公民��,以確保他們充分理解并遵守本地法律和安全要求���;同時(shí)��,加強(qiáng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的本地控制���,減少外部干擾和潛在的安全風(fēng)險(xiǎn)�����。
又如��,設(shè)立專責(zé)的安全管理部門是可行的�����,但需要明確部門職責(zé)和資源配置���。專責(zé)部門需要具備高效管理能力和技術(shù)專業(yè)知識(shí),以確保網(wǎng)絡(luò)安全措施的有效實(shí)施�����。特區(qū)政府應(yīng)設(shè)立透明的監(jiān)督機(jī)制和問責(zé)制度����,確保所有行動(dòng)和決策都在合理范圍內(nèi),滿足市民期望�。部門負(fù)責(zé)人亦需要對(duì)最新的網(wǎng)絡(luò)安全威脅和技術(shù)有深刻理解,能夠制定和實(shí)施有效的安全策略��。
再如�����,營運(yùn)者需確保外判的第三方服務(wù)提供者也要符合相關(guān)安全要求,包括安全審查和管理��。對(duì)于境外服務(wù)提供商���,特區(qū)政府應(yīng)考慮如何執(zhí)法��,確保其符合香港網(wǎng)絡(luò)安全標(biāo)準(zhǔn)���,包括數(shù)據(jù)存儲(chǔ)、訪問控制和事件報(bào)告等方面的要求�����。對(duì)于內(nèi)地服務(wù)提供者����,特區(qū)政府可通過與內(nèi)地有關(guān)部門協(xié)調(diào)��,確保服務(wù)提供商在香港的營運(yùn)符合安全標(biāo)準(zhǔn)��,保障用戶數(shù)據(jù)安全和隱私���。
不過����,像WhatsApp此類市民日常使用的境外通訊平臺(tái),特區(qū)政府須考慮是否要求其在香港設(shè)立本地?cái)?shù)據(jù)中心�����,遵守香港的數(shù)據(jù)保護(hù)法規(guī)����,并制定方法要求境外通訊平臺(tái)定期向香港當(dāng)局報(bào)告安全狀況和事件,確保其服務(wù)的安全性和穩(wěn)定性����。
條例會(huì)否對(duì)涉及關(guān)鍵基礎(chǔ)設(shè)施的收購合并設(shè)立更嚴(yán)格的審查程序,確保安全標(biāo)準(zhǔn)不會(huì)因業(yè)務(wù)變更而降低�?此舉可能會(huì)影響企業(yè)收購合并的速度和成本,但有助于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的安全��。此外���,營運(yùn)者需實(shí)施更嚴(yán)格的數(shù)據(jù)保護(hù)措施��,確保敏感數(shù)據(jù)在處理和存儲(chǔ)過程中的安全性�。
我們也可以從營運(yùn)者的角度,來看待營運(yùn)者適應(yīng)條例的過程及面臨的挑戰(zhàn)�����。電力公司需要確保發(fā)電廠和配電網(wǎng)絡(luò)的網(wǎng)絡(luò)安全����,以符合新規(guī)要求。他們有可能要投入大量資源進(jìn)行技術(shù)升級(jí)和安全措施的實(shí)施�,并進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全演習(xí),確保能源供應(yīng)的穩(wěn)定性和安全性����。電力公司還需要培訓(xùn)員工,提高他們的網(wǎng)絡(luò)安全意識(shí)和應(yīng)對(duì)能力�。
金融產(chǎn)品交易市場(chǎng)需要提升其數(shù)據(jù)中心和交易系統(tǒng)的安全防護(hù),確保交易系統(tǒng)的穩(wěn)定運(yùn)行和數(shù)據(jù)保護(hù)����。營運(yùn)者需加密數(shù)據(jù)、限制訪問權(quán)限��、定期安全審查�����,并提升員工的網(wǎng)絡(luò)安全技能��,制定詳細(xì)的應(yīng)急計(jì)劃以應(yīng)對(duì)安全事件����。
醫(yī)院系統(tǒng)需加強(qiáng)醫(yī)療記錄系統(tǒng)的保護(hù),以防止病人數(shù)據(jù)被竊取��。營運(yùn)者需采取先進(jìn)技術(shù)手段保護(hù)數(shù)據(jù)�����,并確保醫(yī)療工作人員了解并遵守新安全規(guī)范���。這包括提升系統(tǒng)安全性��、進(jìn)行風(fēng)險(xiǎn)評(píng)估及制定應(yīng)急計(jì)劃��,確保滿足條例要求����。
應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)挑戰(zhàn)
特區(qū)政府推動(dòng)關(guān)鍵基礎(chǔ)設(shè)施立法���,對(duì)維持社會(huì)正常運(yùn)作和保障國家安全至關(guān)重要����。加強(qiáng)網(wǎng)絡(luò)安全措施、提升風(fēng)險(xiǎn)管理能力和改進(jìn)事故應(yīng)對(duì)流程��,將提高香港整體的網(wǎng)絡(luò)安全水平�����。各界持份者應(yīng)積極參與立法過程��,同時(shí)為適應(yīng)條例做好準(zhǔn)備���。
特區(qū)政府宜聆聽各界聲音��,監(jiān)察不斷變化的網(wǎng)絡(luò)安全形勢(shì)����,在條例中留有可調(diào)整的空間�����,使其具備靈活性和活力�。對(duì)于來自海外和內(nèi)地的服務(wù)提供商,特區(qū)政府應(yīng)制定明確要求���,確保其在香港的營運(yùn)符合本地網(wǎng)絡(luò)安全標(biāo)準(zhǔn)����,保護(hù)公眾利益和國家安全��。
此外�,香港應(yīng)加快更新《個(gè)人資料(私隱)條例》,并制定與《中華人民共和國網(wǎng)絡(luò)安全法》和《中華人民共和國數(shù)據(jù)安全法》相匹配的相關(guān)法例���。透過這種全面保護(hù)措施��,香港將能更加有效應(yīng)對(duì)未來網(wǎng)絡(luò)安全挑戰(zhàn)���,確保關(guān)鍵基礎(chǔ)設(shè)施的安全性和穩(wěn)定性。
《保障關(guān)鍵基礎(chǔ)設(shè)施(電腦系統(tǒng))條例草案》要旨
●保障維持香港社會(huì)必需服務(wù)攸關(guān)或重要的社會(huì)和經(jīng)濟(jì)活動(dòng)的關(guān)鍵基礎(chǔ)設(shè)施�。\&
●規(guī)管關(guān)鍵基礎(chǔ)設(shè)施營運(yùn)者,即大機(jī)構(gòu)���,不影響中小企及一般市民�����。\&
●營運(yùn)者需承擔(dān)保護(hù)其“關(guān)鍵電腦系統(tǒng)”的責(zé)任�,不涉及系統(tǒng)內(nèi)個(gè)人資料和業(yè)務(wù)內(nèi)容。\&
●絕不影響市民大眾使用網(wǎng)絡(luò)及電腦的自由�。\&
京公網(wǎng)安備11010502037337號(hào)