圖:全球范圍內(nèi)針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊日益頻繁�,影響越來越嚴(yán)重,香港推動網(wǎng)絡(luò)安全生態(tài)圈及產(chǎn)業(yè)發(fā)展確有迫切性���。
現(xiàn)今世界����,關(guān)鍵基礎(chǔ)設(shè)施(Critical Infrastructure)對于維持社會正常運(yùn)作與國家安全至關(guān)重要。香港作為國際創(chuàng)科中心�����、全球金融中心���、世界領(lǐng)先智慧城市��,擁有海量高價值數(shù)據(jù)�。也因此�,香港為保障關(guān)鍵基礎(chǔ)設(shè)施立法刻不容緩。
特區(qū)政府近日宣布建議制定《保障關(guān)鍵基礎(chǔ)設(shè)施(電腦系統(tǒng))條例草案》���。過去數(shù)年�����,也有不少國家��,如美國�、德國�、澳洲����、新加坡等通過立法保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和電腦數(shù)據(jù)����。國家也于2021年9月實(shí)施《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》。
關(guān)鍵基礎(chǔ)設(shè)施是指�����,對經(jīng)濟(jì)�、公共健康和國家安全至關(guān)重要的系統(tǒng)和網(wǎng)絡(luò)。香港的條例草案涵蓋能源�、資訊科技、銀行和金融服務(wù)����、陸上交通、航空交通���、海運(yùn)、醫(yī)療保健�,以及通訊和廣播等界別。
云服務(wù)需求料大增
隨著技術(shù)進(jìn)步�����,基礎(chǔ)設(shè)施越來越依賴互聯(lián)網(wǎng)和電腦系統(tǒng),這也增加其受到網(wǎng)絡(luò)攻擊的風(fēng)險�。全球范圍內(nèi)針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊日益頻繁,影響越來越嚴(yán)重�。2022年,澳洲醫(yī)療保險公司和電信公司分別遭到黑客攻擊�����,導(dǎo)致大量個人資料洩露��。2021年�����,美國燃油運(yùn)輸管道遭網(wǎng)絡(luò)攻擊��,造成供應(yīng)中斷�����,并引發(fā)全國恐慌性搶購��。上述事件凸顯了全球網(wǎng)絡(luò)安全的重要性,提醒各國政府和企業(yè)必須不斷加強(qiáng)防護(hù)措施��,提升網(wǎng)絡(luò)安全意識�,以應(yīng)對日益復(fù)雜和多樣化的網(wǎng)絡(luò)威脅。
鑒于難以成功檢控攻擊者�,不少國家的立法針對關(guān)鍵基礎(chǔ)設(shè)施的營運(yùn)者,若未能妥善處理預(yù)防和維護(hù)程序���,將對其進(jìn)行處罰���。香港的立法建議也不例外,主要內(nèi)容包括三個方面:
架構(gòu)方面���,關(guān)鍵基礎(chǔ)設(shè)施營運(yùn)者(營運(yùn)者)須在香港設(shè)有地址和辦事處并報告變更�,通報基礎(chǔ)設(shè)施擁有權(quán)和營運(yùn)權(quán)變更�����,設(shè)立專業(yè)的電腦系統(tǒng)安全管理部門(自設(shè)或外判)�����,由專責(zé)主管監(jiān)管并跟進(jìn)專責(zé)辦公室指示���。
預(yù)防方面�����,營運(yùn)者須報告關(guān)鍵電腦系統(tǒng)的重大變化���,制定并提交電腦系統(tǒng)安全管理計劃,每年進(jìn)行并報告保安風(fēng)險評估�����,每兩年進(jìn)行并報告獨(dú)立保安審計���,確保第三方系統(tǒng)符合法定要求�����,不影響保安��。
事故通報及應(yīng)對方面�����,營運(yùn)者需每兩年參與專責(zé)辦公室舉行的電腦系統(tǒng)安全演習(xí)�,制定并提交應(yīng)急計劃,并在指定時間內(nèi)報告關(guān)鍵電腦系統(tǒng)保安事故:嚴(yán)重事故在2小時內(nèi)�,其他事故在24小時內(nèi)報告。
特區(qū)政府將設(shè)立專責(zé)辦公室����,由保安局及特首委任專員領(lǐng)導(dǎo),專責(zé)監(jiān)督條例的實(shí)施�����,不合規(guī)者將面臨50萬至500萬元的罰款��。
雖然不少大型機(jī)構(gòu)已經(jīng)滿足或超越這些要求���,但中小型機(jī)構(gòu)可能在網(wǎng)絡(luò)安全管理能力和資源上有所不足��,需要進(jìn)行技術(shù)升級����,增強(qiáng)員工的網(wǎng)絡(luò)安全意識和技能����,制定更嚴(yán)格的安全措施。筆者亦預(yù)計�,基礎(chǔ)設(shè)施條例將對云服務(wù)的使用提出更高要求�����,公有云未必合乎要求����;預(yù)料營運(yùn)者將轉(zhuǎn)向更安全的私有云或混合云服務(wù)�,以符合新的安全標(biāo)準(zhǔn)�,但同時也為業(yè)界帶來商機(jī)。
基礎(chǔ)設(shè)施條例并不針對一般市民�����,而是規(guī)管營運(yùn)者�,確保他們采取適當(dāng)措施保護(hù)電腦系統(tǒng)安全,從而減少網(wǎng)絡(luò)攻擊風(fēng)險���。雖然條例適用于機(jī)構(gòu)��,但若違規(guī)行為涉及觸犯刑事法例���,涉事人員可能需負(fù)上個人刑事責(zé)任。
運(yùn)營數(shù)據(jù)在地儲存
在筆者看來�,條例草案仍有不少需要厘清的地方���,希望特區(qū)政府與各界集思廣益。例如�����,是否需要規(guī)定營運(yùn)者的負(fù)責(zé)人必須是香港公民�,以確保他們充分理解并遵守本地法律和安全要求;同時�����,加強(qiáng)對關(guān)鍵基礎(chǔ)設(shè)施的本地控制���,減少外部干擾和潛在的安全風(fēng)險����。
又如�����,設(shè)立專責(zé)的安全管理部門是可行的���,但需要明確部門職責(zé)和資源配置�。專責(zé)部門需要具備高效管理能力和技術(shù)專業(yè)知識,以確保網(wǎng)絡(luò)安全措施的有效實(shí)施�����。特區(qū)政府應(yīng)設(shè)立透明的監(jiān)督機(jī)制和問責(zé)制度�����,確保所有行動和決策都在合理范圍內(nèi)�����,滿足市民期望����。部門負(fù)責(zé)人亦需要對最新的網(wǎng)絡(luò)安全威脅和技術(shù)有深刻理解���,能夠制定和實(shí)施有效的安全策略���。
再如,營運(yùn)者需確保外判的第三方服務(wù)提供者也要符合相關(guān)安全要求�����,包括安全審查和管理。對于境外服務(wù)提供商����,特區(qū)政府應(yīng)考慮如何執(zhí)法,確保其符合香港網(wǎng)絡(luò)安全標(biāo)準(zhǔn)���,包括數(shù)據(jù)存儲��、訪問控制和事件報告等方面的要求��。對于內(nèi)地服務(wù)提供者�,特區(qū)政府可通過與內(nèi)地有關(guān)部門協(xié)調(diào)��,確保服務(wù)提供商在香港的營運(yùn)符合安全標(biāo)準(zhǔn)��,保障用戶數(shù)據(jù)安全和隱私���。
不過��,像WhatsApp此類市民日常使用的境外通訊平臺���,特區(qū)政府須考慮是否要求其在香港設(shè)立本地數(shù)據(jù)中心,遵守香港的數(shù)據(jù)保護(hù)法規(guī)���,并制定方法要求境外通訊平臺定期向香港當(dāng)局報告安全狀況和事件��,確保其服務(wù)的安全性和穩(wěn)定性�。
條例會否對涉及關(guān)鍵基礎(chǔ)設(shè)施的收購合并設(shè)立更嚴(yán)格的審查程序,確保安全標(biāo)準(zhǔn)不會因業(yè)務(wù)變更而降低����?此舉可能會影響企業(yè)收購合并的速度和成本,但有助于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的安全�。此外,營運(yùn)者需實(shí)施更嚴(yán)格的數(shù)據(jù)保護(hù)措施���,確保敏感數(shù)據(jù)在處理和存儲過程中的安全性。
我們也可以從營運(yùn)者的角度��,來看待營運(yùn)者適應(yīng)條例的過程及面臨的挑戰(zhàn)���。電力公司需要確保發(fā)電廠和配電網(wǎng)絡(luò)的網(wǎng)絡(luò)安全���,以符合新規(guī)要求。他們有可能要投入大量資源進(jìn)行技術(shù)升級和安全措施的實(shí)施�,并進(jìn)行風(fēng)險評估和安全演習(xí),確保能源供應(yīng)的穩(wěn)定性和安全性�����。電力公司還需要培訓(xùn)員工,提高他們的網(wǎng)絡(luò)安全意識和應(yīng)對能力�����。
金融產(chǎn)品交易市場需要提升其數(shù)據(jù)中心和交易系統(tǒng)的安全防護(hù)����,確保交易系統(tǒng)的穩(wěn)定運(yùn)行和數(shù)據(jù)保護(hù)。營運(yùn)者需加密數(shù)據(jù)����、限制訪問權(quán)限、定期安全審查���,并提升員工的網(wǎng)絡(luò)安全技能����,制定詳細(xì)的應(yīng)急計劃以應(yīng)對安全事件�。
醫(yī)院系統(tǒng)需加強(qiáng)醫(yī)療記錄系統(tǒng)的保護(hù),以防止病人數(shù)據(jù)被竊取����。營運(yùn)者需采取先進(jìn)技術(shù)手段保護(hù)數(shù)據(jù)��,并確保醫(yī)療工作人員了解并遵守新安全規(guī)范�����。這包括提升系統(tǒng)安全性�����、進(jìn)行風(fēng)險評估及制定應(yīng)急計劃�,確保滿足條例要求����。
應(yīng)對網(wǎng)絡(luò)風(fēng)險挑戰(zhàn)
特區(qū)政府推動關(guān)鍵基礎(chǔ)設(shè)施立法,對維持社會正常運(yùn)作和保障國家安全至關(guān)重要�����。加強(qiáng)網(wǎng)絡(luò)安全措施�、提升風(fēng)險管理能力和改進(jìn)事故應(yīng)對流程��,將提高香港整體的網(wǎng)絡(luò)安全水平����。各界持份者應(yīng)積極參與立法過程���,同時為適應(yīng)條例做好準(zhǔn)備。
特區(qū)政府宜聆聽各界聲音����,監(jiān)察不斷變化的網(wǎng)絡(luò)安全形勢,在條例中留有可調(diào)整的空間�����,使其具備靈活性和活力�����。對于來自海外和內(nèi)地的服務(wù)提供商����,特區(qū)政府應(yīng)制定明確要求,確保其在香港的營運(yùn)符合本地網(wǎng)絡(luò)安全標(biāo)準(zhǔn)����,保護(hù)公眾利益和國家安全。
此外�����,香港應(yīng)加快更新《個人資料(私隱)條例》,并制定與《中華人民共和國網(wǎng)絡(luò)安全法》和《中華人民共和國數(shù)據(jù)安全法》相匹配的相關(guān)法例���。透過這種全面保護(hù)措施����,香港將能更加有效應(yīng)對未來網(wǎng)絡(luò)安全挑戰(zhàn)�����,確保關(guān)鍵基礎(chǔ)設(shè)施的安全性和穩(wěn)定性��。
《保障關(guān)鍵基礎(chǔ)設(shè)施(電腦系統(tǒng))條例草案》要旨
●保障維持香港社會必需服務(wù)攸關(guān)或重要的社會和經(jīng)濟(jì)活動的關(guān)鍵基礎(chǔ)設(shè)施���。\&
●規(guī)管關(guān)鍵基礎(chǔ)設(shè)施營運(yùn)者�����,即大機(jī)構(gòu)�����,不影響中小企及一般市民。\&
●營運(yùn)者需承擔(dān)保護(hù)其“關(guān)鍵電腦系統(tǒng)”的責(zé)任,不涉及系統(tǒng)內(nèi)個人資料和業(yè)務(wù)內(nèi)容����。\&
●絕不影響市民大眾使用網(wǎng)絡(luò)及電腦的自由。\&
京公網(wǎng)安備11010502037337號