立法会八题:网络安全
**********
问题:
据报,有一项调查的结果显示,香港是亚太区内去年发生网络安全事故最多的地区,而且有多达百分之七十一的受访香港企业表示,其公司于去年曾发生网络安全事故。香港警务处去年一月将科技罪案组升格成为网络安全及科技罪案调查科(调查科),以加强防止及打击科技罪行和应付网络安全事故。政府于今年六月向上届立法会人事编制小组委员会建议开设一个常额总警司职位以领导调查科,但该建议至上届立法会会期中止时仍未获处理。就此,政府可否告知本会:
(一)当局是否了解上述调查的结果;如果掌握,有没有采取跟进行动;如有,详情为何;如没有,当局如何减少香港企业遇到网络安全事故的情况;
(二)过去五年,当局有否就香港企业(尤其是中小型企业)面对的网络安全状况及其如何应对网络安全事故进行调查;如有,详情为何;如否,当局如何根据实际情况,向企业提供适切支援;
(三)当局会否考虑把现时调查科、香港生产力促进局辖下香港电脑保安事故协调中心,以及政府资讯科技总监办公室辖下政府电脑保安事故协调中心各自负责的网络安全工作统一拨归一个部门负责,以集中资源统筹及处理网络安全的事宜;
(四)有否统计,过去五年每年第(三)项提及的三个工作单位由发生网络安全事故至发出警报,平均所用时间分别为何;当局有否为该三个工作单位制订相关的工作成效指标;及
(五)有否评估,上述总警司职位至今尚未开设的情况,对警方防止及打击科技罪行和应付网络安全事故的工作有何影响;政府再次把开设该职位的建议提交本会的安排以及为该职位制订的工作计划详情为何?
答覆:
主席:
政府非常重视资讯保安,一直密切监察网络攻击的趋势及有关的保安威胁。政府各决策局和部门(局和部门)一直推行多层保安措施,以监测、侦察及堵截资讯系统及网络可能受到的恶意攻击,并及早采取相应措施,保护政府资讯系统及网络免被入侵。政府资讯科技总监办公室(资科办)亦联同香港警务处和香港电脑保安事故协调中心(香港协调中心)透过不同渠道,积极向企业及公众适时提供及发放有关网络安全的资讯和建议,让企业和公众了解各种潜在的保安风险及相应的缓减方法,提升香港整体的网络保安能力,应付新兴网络威胁所带来的挑战。
就问题的各部分,经谘询保安局后,现回覆如下:
(一)政府一直留意全球资讯保安趋势及发展,当中包括相关的调查报告。提及的报告指出,百分之七十一香港受访者表示其企业在过去一年曾发生安全事故。报告亦同时显示,香港有较高的网络攻击数字是因为其企业有较高的侦察能力——百分之三十四和百分之四十三的香港受访者分别只需数分钟和数小时便能察觉被入侵,比亚太区平均值为高;此情况亦反映香港企业有一定程度的保安能力。另外,调查显示过去数年分散式阻断服务攻击是主要的攻击手法,但勒索软件已成为当下的主流攻击方式。
为进一步提高中小企对资讯保安的认知及对网络保安威胁,包括勒索软件的防御能力,政府、香港协调中心与业界和不同的机构合作,不时透过专题研讨会、电台节目及派发宣传单张等,提醒企业和市民加强网络安全措施,保护其资讯系统及数据资产。
因应今年本港勒索软件感染事故个案大幅增加,自今年三月起,资科办、香港警务处及香港协调中心以「防御勒索软件」为主题,为关键基础设施营运商、企业及机构、学校及公众分别举办多个主题研讨会。研讨会有助他们更深入了解勒索软件的感染途径、影响和过程,同时了解有关应对勒索软件攻击的策略和技术,以有效预防勒索软件攻击。资科办亦制作了一套「提防遭受勒索软件感染」的资讯图表及题为「预防勒索软件」的学习课程,通过网络安全资讯站、报章和电子传媒,向中小企及公众发放有关勒索软件攻击的信息,并提供相关实用建议和风险缓解措施,提醒公众采取必要的预防措施,免受勒索软件攻击。
此外,为了加强中小企的长远竞争力,创新科技署于十一月二十一日在创新及科技基金下推出五亿元的科技券计划,资助中小企使用科技(包括协助企业提升资讯保安的资讯科技)服务和方案,以提高生产力或升级转型。计划以二对一的配对模式,为每间合资格的中小企提供最多20万元资助,而有关中小企必须投入不少于项目成本三分之一的资金。
为加强打击科技罪行及应付本港网络安全事故的能力,警方在二○一五年一月成立网络安全及科技罪案调查科(网罪科)。当中的网络安全中心更是24小时运作,加强警队和不同持份者的沟通和协调,以预防及更有效应付可能发生的攻击事故。在防止网络安全事故及科技罪案的宣传教育方面,网罪科一直与各持份者联系及进行情报交流,并不时举办相关的讲座及活动,加强市民及企业对网络安全及科技罪案的意识。
(二)资科办委托政府统计处每两年进行一次「资讯科技在工商业的使用情况和普及程度统计调查」,当中包括工商业遭遇资讯保安事故的统计。对上一轮的调查在二○一五年三月至十二月间进行,涵盖约275 900间有使用电脑/智能手机/互联网的机构。其中约百分之十六的机构在被访问前的十二个月内曾遭遇资讯保安事故,当中约百分之七十三的机构曾受到「电脑病毒」入侵,其次是「拒绝服务攻击」(百分之三十一)及「黑客入侵」(百分之八)。在应对网络攻击方面,大部分(约百分之八十五)采用「定期更新病毒识别码/抗电脑病毒软件」及建立「防火墙」,另外各有约百分之七十二有实施「定期为对业务运作重要的数据进行备份」及「定期更新操作系统修补程式」等保安措施。
(三)现时资科办辖下的政府电脑保安事故协调中心(政府协调中心)、警方的网罪科及香港协调中心,分别为不同持份者包括政府部门、关键基础设施、公私营机构及市民大众提供网络安全相关的资讯及支援。
政府协调中心专责协调处理政府内部的资讯及网络安全事故,包括回应、协调及处理政府内部资讯保安事故、发放保安警报及预警,以及提供有关保安措施的建议等。香港协调中心则专责为本地企业及互联网用户提供资讯保安事故的消息和防御指引、事故回应及支援服务,以及提高保安意识,同时与区内及国际的电脑保安事故协调组织建立联系,适时分享保安资讯。而网罪科的成立则是为了加强警方保护关键基础建设的资讯系统安全,以及提升警方在预防及打击科技罪案的能力。
三者之间现时有清晰的职责分工,亦有不同的职能和持份者,同时三方亦已建立良好的合作机制,运作模式行之有效,能为不同持份者提供适切的支援。我们没有计划改变现行的安排。
(四)政府协调中心会因应保安漏洞及保安事故,适时向各局和部门发出保安警报及催办便笺,协助各局和部门采取有效和迅速的应对措施,以预防及减低电脑系统受到网络攻击的风险和影响。香港协调中心亦会因应电脑系统及程式的保安漏洞,向企业及公众发出保安公告。每个保安漏洞或每宗保安事故都有其独特性,需要搜集相关细节,进行剖析、评估影响范围、查找源头及拟定有效解决或缓减方案,才可向可能受影响的政府部门、机构或公众人士发出有效警告及提供应对建议。一待资讯齐集,两间协调中心便会即时发放警报,令相关持份者及早实施可行的预防措施。尽管两间协调中心并没有就发出警报的时间作统计,但一般来说,两间协调中心均能在发现保安漏洞或保安事故的数小时内发出警报。
在过去五年,政府协调中心及香港协调中心每年发出警报的数字表列如下。发出保安警告是其中一种预防事故的手段,我们会按需要发出警报,并没有相关工作的成效指标。
| 二○一二年 | 二○一三年 | 二○一四年 | 二○一五年 | 二○一六年(截至十月) | |
| 资科办向局和部门发布的严重保安警报 | 71 | 76 | 71 | 82 | 72 |
| 香港协调中心向企业及公众发布的保安公告 | 429 | 470 | 348 | 352 | 292 |
此外,网罪科的网络安全中心24小时运作,因此在发生针对关键基础设施的网络安全事故时,警方亦可提供即时协助。警方没有备存相关的统计数字。
(五)随着网罪科在二○一五年一月成立,警务处致力提升及扩展在不同范畴的能力,包括侦查集团式及高度复杂的科技罪案、适时进行网络威胁的审计及分析、提升重大网络安全事故或大规模网络攻击的应变能力及专题研究,以及加强与本地持份者和海外执法机关的合作和情报交换。
网罪科肩负起统筹香港应对科技罪行及网络攻击措施的使命,但一直欠缺一个总警司作专职领导。网罪科成立已接近两年,实有迫切需要开设一总警司常额职位。若网罪科继续欠缺专职的首长级领导,将难以持续应对日趋复杂的挑战、制订及推行有效策略,及确保该等策略得以顺利推行。若目前的状况持续,更可能影响网罪科多方面的能力,包括:
(i)在香港的关键基础设施受到大规模网络攻击时动员警队其他专责单位参与行动;
(ii)就侦查科技罪行订立目标、政策和长远策略;
(iii)统筹警区及政府部门应对科技罪行及网络攻击的各项工作;以及
(iv)就适当分配资源及订立发展方针等事宜作出高层和刻不容缓的决定。
事实上,由于网络安全问题及科技罪行迅速演变,并超出传统司法管辖区的界限,网罪科必须与本地及海外持份者在网络安全上加强合作,推广教育宣传,并在有需要时提供资料协助案件调查。在海外先进国家,与网罪科相类的执法单位主管,其职级一般至少等同香港警务处总警司的职级,反映这些国家对应对网络安全威胁及打击科技罪行的重视。同样,香港警务处需要总警司级别的首长级人员,与本地及海外执法机关建立紧密联系,以及与不同伙伴及持份者协力打击科技罪案及维护网络安全。
网罪科总警司一职具有广泛、专业及十分重要的职能。设立总警司职位如进一步延迟,将会严重影响警务处及香港对网络攻击的应变能力,继而令香港极容易成为网络罪犯发动网络攻击的目标。有见及此,保安局及警务处刚于十二月六日就开设网罪科总警司职位一事谘询保安事务委员会,并期望建议能尽快获得人事编制小组委员会及财务委员会通过。
完
2016年12月7日(星期三)
香港时间15时00分
香港时间15时00分