立法会十九题:香港的资讯保安
**************
问题:
近年本港资讯保安事故及网络罪案频生,而且犯案手法及所涉科技日趋复杂,令政府部门、金融系统及企业的网络受到威胁。警方今年首八个月接获49宗以加密勒索软件进行勒索的案件,当中五宗个案所涉损失总额近七万元。此外,香港生产力促进局辖下香港电脑保安事故协调中心今年首九个月接获247宗以加密勒索软件进行勒索的报告,按年增三倍多。就提升本港政府部门、金融系统及企业业务营运的资讯保安,政府可否告知本会:
(一)是否知悉,过去三年每年分别有多少宗(i)政府部门及(ii)其他机构的电脑或网站遭到网络攻击及遇到资讯保安事故的报告,并按部门/机构名称及事故类别(包括网页涂改、入侵网络及资讯系统、分散式阻断服务攻击及以加密勒索软件进行的勒索)列出分项数字;
(二)鉴于今年十月海事处海港巡逻组及食物环境卫生署食物安全中心办事处的电脑先后被黑客植入或入侵,该等事故令政府蒙受的金钱损失分别为何;当局有否检讨各政府部门使用的电脑系统和防毒软件是否足以防御钓鱼网站、僵尸网络、恶意软件、分散式阻断服务攻击等网络攻击;
(三)鉴于早前卫生署临床讯息管理系统的免疫接种记录系统伺服器疑遭黑客入侵,当局如何加强其临床讯息管理系统的保安,以保障市民的个人资料及私隐;
(四)鉴于政府资讯科技总监办公室表示计划于今年年中增设一个专责小组,以加强应对网络威胁,该小组(i)是否已经成立、(ii)已进行及计划进行的具体工作分别为何,以及(iii)会否为各政府部门的资讯保安进行评估及审计;如会,时间表为何;如否,原因为何;
(五)政府电脑保安事故协调中心自成立至今与警务处合作进行了多少次网络保安演习,以及所模拟的网络攻击事故的类别及规模分别为何(按时序分别列出);
(六)香港警务处网络安全及科技罪案调查科就应对网络罪案所涉的工作范围为何;该调查科有否参与保安局、创新及科技局,以及政府资讯科技总监办公室的各类资讯保安工作,包括(i)进行保安风险评估及审计、(ii)推行保安技术方案,以及(iii)提升保安基础设施;
(七)有多少间机构参加当局今年透过香港电脑保安事故协调中心举办的中小企业网站免费保安检查先导计划;当局有否及如何评估该计划的成效,以及会否扩展该计划,让更多中小企业参与;鉴于中小企业面对较高的资讯保安风险,政府会否为中小企业提供额外的资助及支援,以协助中小企业加强网络基建安全及提升资讯保安;
(八)鉴于今年十月美国发生黑客发动大规模网络袭击,令当地多个主要网站瘫痪,当局有否就本港推动智慧城市建设制订资讯保安策略,以应对针对家居、个人和流动网络装置、商户POS系统,以及物联网系统的网络攻击;
(九)鉴于泰国及台湾近日先后发生黑客入侵银行自动柜员机系统事故,当局有何具体措施保障本港金融系统的资讯安全,以确保该系统能够防御同类黑客入侵的事件;会否就现时政府机构、金融机构、电讯公司等行业机构及其基础设施的资讯保安进行全面的风险评估;
(十)当局有否配合本港发展智慧城市及金融科技的方向,评估本港长远对资讯保安人员的需求;有否计划制订政策,培育资讯科技人员及网络安全专家,以应对各种资讯保安的威胁;及
(十一)自二◯◯◯年检讨现行法例及相关行政措施后,当局有否计划就加强资讯保安工作重新成立跨部门工作小组,以研究如何应对云端科技应用带来的新挑战?
答覆:
主席:
资讯科技发展日新月异,智能装置愈趋普及,资讯保安及网络攻击所带来的威胁亦为互联网用户带来影响。政府一直密切注视网络攻击的趋势及有关的保安威胁。政府资讯科技总监办公室(资科办)收集由网络安全业界及世界各地电脑保安事故紧急应变小组发出的网络威胁讯息,适时向各决策局和部门(局和部门)发出保安警报及催办便笺,并协助政府资讯科技管理人员及各局和部门的资讯保安事故应变小组,作出即时应变及加强防范措施。
就问题的各部分,经谘询保安局、商务及经济发展局、财经事务及库务局及其他相关部门后,现回覆如下:
(一)在过去三个年度,资科办共接获31宗政府部门的资讯保安事故报告。而香港电脑保安事故协调中心(香港协调中心)在过去三年,共接获本地企业及用户13 517宗资讯保安事故报告。有关的事故类别详列于附件。
(二)就海事处海港巡逻组及食物环境卫生署食物安全中心办事处的电脑被黑客入侵的事件,相关部门已即时按既定的资讯保安事故应变机制和程序妥善处理。由于入侵事件是由勒索软件引致,资科办亦即时向各局和部门发出有关加强防范勒索软件的催办便笺和指引,要求各局和部门加强检查电脑系统设置及抗恶意程式软件等,以确保政府内部的资讯保安防御能力。政府并没有因有关事故蒙受金钱损失。
政府已就保护政府资讯系统和网络方面制备整体管理架构、技术措施及保安机制,密切监测政府资讯和网络系统的运作,以侦察及堵截可能受到的不同类型网络攻击。各局和部门都必须遵从政府的资讯保安政策及指引,采取适当的措施确保政府的资讯和网络系统安全及运作正常,包括实施多层保安措施,例如使用防火墙、入侵侦测及防御系统和抗恶意程式软件等。各局和部门也要确保系统设置正确和及时安装保安修补程式,避免个别的保安漏洞对政府的资讯系统构成威胁。它们亦须定期为其资讯和网络系统进行保安风险评估和第三方审计,以确定其系统符合相关的保安要求及规例,并有足够的防御能力,保护政府系统和数据资产。
此外,资科办一直密切监察网络攻击的趋势及相关的保安威胁,为各局和部门提供适时的技术支援及建议防范措施,透过发放技术指引、保安警报、催办便笺和举办研讨会等,提升他们的资讯保安意识及增强其预防、侦察及应对网络攻击的能力。
(三)卫生署在二◯一六年七月,发现其临床讯息管理系统的免疫接种记录系统被黑客入侵。卫生署已按既定程序处理有关事故,通报资科办、个人资料私隐专员公署,以及将事件交由警方调查。卫生署亦已致函所有可能受影响的人士,建议他们提高警觉,留意个人资料有否被非法使用。
针对个人及保密资料的保护,政府已订立非常严格的资料保安要求及应对措施,限制只有获授权人士才可接达和使用相关应用系统及数据,并须明确界定及定期覆检数据接达权限,亦要求在储存和传送敏感数据及文件时,必须以业界认可标准进行加密,以确保政府数据资产得到适当保护。
在二◯一六年,资科办参照最新的ISO 27001国际标准及业界良好作业模式,对《政府资讯科技保安政策及指引》进行全面检讨,加强对个别范畴,包括储存敏感资料、部门应对资讯保安事故的领导水平和能力等的保安要求。
(四)资科办于今年七月增设一个专责小组以加强应对网络威胁。该小组现正构建一个先导网络风险资讯共享平台,利用大数据分析,对不同来源的网络威胁资讯及数据进行整理及评估,向各局和部门发出更针对性的网络威胁预警及提供应对建议。此外,资科办将在今年年底开展新一轮保安「遵行审计」,评估各局和部门就《政府资讯科技保安政策及指引》的遵行情况,并在评估过程中,协助有关部门持续改善保安管理系统,以应对新兴保安威胁。
(五)自二◯一四年起,警务处与不同的业界持份者以及本港的关键基础设施机构举行各类型网络安全演习。二◯一四年,共有14个关键基础设施机构参加了演习。二◯一五年,参与机构的数目增加至28个。网络安全演习通过各种模拟事故场景,测试参与者的事故分析能力、常设的事故应变程序及沟通机制的运作。当中的模拟网络攻击事故包含了各种最常见而有深远影响的情景,例如分散式阻断服务攻击、涂改网页、入侵网络及资讯系统、勒索软件、恶意程式及敏感资料外泄等。
警务处将在二◯一七年一月联同资科办举办一个涉及30个政府部门的大型网络安全演习,加强政府部门保护资讯系统及处理网络安全事故的能力。
(六)警务处网络安全及科技罪案调查科(网罪科)在应对网络罪案的工作范围广泛,主要职能包括:
(a)侦查集团式及高度复杂的科技罪行,以及积极进行情报主导的调查工作;
(b)适时进行网络威胁的审计及分析,以防止及侦查针对关键基础设施所作的网络攻击,从而为该等设施提供支援;
(c)提升对重大网络安全或大规模网络攻击事故的应变能力;
(d)加强就网络罪行的趋势、犯案手法、电脑系统弱点及恶意程式的发展进行专题研究;
(e)加强与本地及海外持份者及执法机关的合作,以应付常见的科技罪行和网络威胁;及
(f)进行有关网络安全和科技罪行的培训工作。
网罪科自成立以来,一直与各政府部门以及业界持份者通力合作,以加强关键基础设施资讯系统网络的可靠性,及提升香港保护有关资讯系统网络和防御网络攻击的能力。
(七)为提升本地中小企业的网络保安意识及对网络攻击的防御能力,香港协调中心于今年年初联同多个本地商会,举办中小企业网站免费保安检查先导计划,为中小企检查其网站的健康状况,建议改进措施,并在推行措施后验证改进成效。有关计划于今年年中完成第一轮检查,为30间参与的中小企提供网站安全检查报告及免费谘询服务,并于八月举办座谈会分享检查结果及改进建议。第二轮检查亦已完成。参与的中小企通过该计划加深了解其网站的保安风险及认识网站保安的最佳实践方法,加强对其网站的保护。资科办会继续与香港协调中心紧密合作,研究推行相关活动以提升本港中小企的网络安全水平。
创新科技署亦于十一月二十一日在创新及科技基金下以先导形式推出五亿元的科技券计划,资助中小企使用科技(包括协助企业提升网络保安的资讯科技)服务和方案。
(八)在推动智慧城市发展的过程中,制定相关的资讯保安及技术标准是不可或缺的。在考虑推行物联网的方案时,政府会评估相关环节的资讯保安风险,包括端点装置、网络系统、资料管理等,以符合政府保安规例及政策的要求。我们正为香港制定智慧城市发展蓝图开展顾问研究,范围包括资讯保安及技术标准。研究预期于二◯一七年年中完成。
(九)香港金融管理局(金管局)一直与银行业和警务处监察有关自动柜员机的犯罪手法,包括黑客入侵海外银行柜员机,导致柜员机自动吐出钞票的个案。据金管局提供的资料,有关个案涉及植入恶意程式以入侵海外柜员机,而相关柜员机并没有实施针对恶意程式保安措施。然而,所有本地的自动柜员机均已按金管局的指引,实施针对恶意程式的保安措施。因应这些个案,金管局、银行业及警务处已再次提醒银行检视相关的保安措施,以进一步减低本地自动柜员机被入侵的风险。
为加强香港银行体系应对网络风险的能力,金管局于今年五月宣布推出网络防卫计划。该计划包括三大支柱:
(a)网络防卫评估框架:评估框架的目的,是评估认可机构的网络风险状况及防范网络攻击所须达致的能力水平。评估结果将作为制定提高网络防卫能力方案的依据,并让金管局能够全面掌握个别认可机构、以至整个银行体系面对网络攻击的应变准备是否充足;
(b)专业培训计划:专业培训计划是一个由金管局与香港银行学会及香港应用科技研究院(应科院)合作推出的本地认证计划及专业培训课程。推出上述综合及有系统的课程的目的,是为认可机构以至资讯科技界培育专业的网络安全从业员,藉此加强他们的网络安全意识,和提高他们对网络风险评估的能力和模拟测试的技术水平;以及
(c)网络风险资讯共享平台:金管局和香港银行公会合作推出网络风险资讯共享平台,以支援模拟测试及便利认可机构分享有关网络风险的资讯。相关的网络风险资讯会从不同的可靠途径收集回来,并加以分析及分享给平台使用者,当中会包含详尽的网络风险分析报告及建议。香港银行公会的会员银行可以透过这平台获取最新风险资讯,并预早作出准备。
在银行业及其他持份者的支持下,网络防卫计划的推展进度良好。三大支柱预计将于二◯一六年十二月正式展开。
此外,网罪科一直致力促进有关针对金融业界网络攻击的情报交流。网罪科正筹备建立一个网络攻击情报交流平台,以应付多变的网络威胁和渐趋复杂的网络攻击,以及分享有关网络攻击的情报。
今年五月,警务处、金管局及应科院合办为期三天的「二◯一六网络安全峰会」。峰会嘉宾包括来自金融机构、监管机构及科技技术解决方案供应商的主管。峰会讨论了本地及全球的最新网络攻击趋势,及提升本港重要行业机构和关键基础设施面对网络安全事故以及应对黑客入侵事件的意识及准备。
就电讯营办商而言,根据商务及经济发展局提供的资料,它们有责任根据牌照条款,确保其网络有效运作,以维持及提供良好的服务。
(十)国际信息系统审计协会的统计数字显示,截至二◯一六年九月,全港有2 327名注册信息系统审计师及474名注册信息安全经理。另外,国际信息系统安全核准联盟的资料显示,本地共有1 413名从业员获得资讯系统安全师专业认证。为应付香港面对的资讯保安威胁,政府会继续与学界和教育界(包括大专院校)合作在其资讯科技相关学科加强资讯保安课程,并联同资讯保安专业团体向资讯科技人员推广专业认证,以培训更多具备资讯保安专业知识和技能的资讯科技人员,促进相关人力资源的发展。
(十一)政府已制订了一套全面的《政府资讯科技保安政策及指引》,并会定期检讨,以应对政府在应用云端及其他资讯科技发展所带来的挑战。
完
2016年12月14日(星期三)
香港时间16时15分
香港时间16时15分