跳至主要内容

立法会九题:政府部门、公营机构及工务工程相关机构的资讯保安情况
*******************************
  以下为今日(五月三十一日)在立法会会议上莫乃光议员的提问和创新及科技局局长杨伟雄的书面答覆:
 
问题:

  今年三月,一间受聘于港珠澳大桥相关工程项目的顾问公司的电脑系统遭勒索软件攻击,令大量档案遭加密锁上。此外,一个针对攻击旧版本微软视窗作业系统的勒索软件WannaCry于本月初肆虐全球,香港亦有不少用户受到影响。就政府部门、公营机构及工务工程相关机构(即工程承建商、顾问公司及物料供应商)的资讯保安情况,政府可否告知本会:

(一)当局去年分别接获多少宗(i)政府部门、(ii)工务工程相关机构及(iii)公营机构的电脑系统及资讯保安事故报告;当中涉及勒索软件的宗数及其引致的金钱损失(如有);这三类机构就电脑系统及资讯保安事故作出通报的机制及须采取的应变措施分别为何;

(二)是否知悉,上述顾问公司遭勒索软件入侵后采取了什么应变措施;该公司向政府通报此事故的过程是否符合既定程序及其详情;该公司被锁上的档案包含的资料类别及数量,以及有否档案最终被删除;如有,被删除的档案包含的资料类别及数量为何,以及这些档案有否备份;该事故有否引致政府及该公司金钱损失;

(三)政府与上述顾问公司签订的合约有否订明电脑系统及资讯保安要求(例如必须安装及定期更新电脑保安软件);如有,详情为何;如否,政府有否在事故发生后向该公司发出电脑系统及资讯保安指引,以及有否要求该公司安装或更新反恶性程式码软件及防火墙软件;

(四)政府有否就工务工程相关机构及公营机构所采用的电脑及资讯保安系统和防毒软件制订统一规定;如有,详情为何,包括:(i)该等规定有否包括须适时更新电脑系统及资讯保安软件及硬件,以及(ii)政府与工务工程相关机构签订的合约和向公营机构发出的指引有否包含该等规定;

(五)在发生上述顾问公司的电脑系统遭勒索软件入侵的事故后,政府有否对工务工程相关机构的电脑系统及资讯保安风险进行评估和订定第三方审计安排;如有,详情为何;如否,会否立即进行;

(六)各政府部门现正使用的电脑当中,分别有多少部及百分比采用下列版本的微软视窗作业系统:(i)视窗10并含最新免费防毒软件但未有开启系统的更新功能、(ii)视窗‍7及未有安装可供下载的修补漏洞的更新程式KB4012215、(iii)其他旧版本(包括视窗XP、视窗8和视窗伺服器2003(请详列有关版本));

(七)政府部门现正使用的离线作业电脑的数目及所使用的作业平台名称和版本;
   
(八)有否制订内部指引,规定各部门定期更新电脑软件及硬件,以及有否计划更新已过时的电脑作业系统;如‍有,详情为何;如否,原因为何;及

(九)针对WannaCry勒索软件的威胁,政府至今已采取哪些防范电脑系统及资讯保安事故的措施;会否重新评估政府应付各类电脑系统及资讯保安事故的能力,并协助私营企业及公营机构加强资讯保安事故的防范能力?

答覆:

主席:
 
  政府资讯科技总监办公室(资科办)一直密切监察政府网络系统的日常运作,以监测、侦察及堵截电脑网络可能受到的恶意攻击。资科办亦制订了《政府资讯科技保安政策及指引》(《政策及指引》),要求各局和部门遵行。在有需要时,资科办会即时向各局和部门提供技术支援及建议防范措施,例如更新作业系统软件和加强备份电脑资料,以提高各局和部门预防恶意程式的能力。

  就问题的各个部分,经谘询相关政策局后,现回覆如下:

(一)各局和部门在发生资讯保安事故时,须遵行《政策及指引》内有关保安事故管理的规定,向政府资讯保安事故应变办事处通报,并作出适当应变措施,包括界定事故类别、评估事故范围、破坏及影响、遏止破坏及修正问题等。各局和部门使用外判服务时,亦须根据《政策及指引》,制订适用于外判服务供应商的资讯保安措施和要求。外聘服务供应商(包括工务工程相关机构)如发生资讯保安事故,须向相关局和部门通报,并根据有关的资讯保安措施和要求作出适当应变。我们亦把《政策及指引》发放给公营机构参考,以便他们根据本身的资讯科技保安政策和业务需求采取适当的应变措施。

  二○一六至一七年度,政府资讯保安事故应变办事处共接获22宗涉及政府部门的资讯保安事故报告,当中有11宗涉及电脑勒索软件。在所有事故中,政府并没有任何金钱损失。资科办并没有有关工务工程相关机构及公营机构的资讯保安事故的数据。

(二)根据运输及房屋局提供的资料,路政署于二○一七年三月二日接获其所聘用、负责监督香港接线工程合约编号HY/2011/09(即港珠澳大桥香港接线-香港特别行政区边界至观景山段)的顾问公司的驻工地工程人员通知,其工地办公室内的伺服器遭勒索软件攻击,伺服器内的部分档案遭加密勒索。驻工地工程人员已即时切断该伺服器的网络连线,并向警务处求助。据顾问公司提交予路政署的资料,受加密勒索的档案主要为驻工地工程人员与日常监督工作相关的档案,并不是机密档案,亦不载有个人资料。顾问公司已通过例行备份的资料,恢复被加密的档案。事件没有影响驻工地工程人员的日常监督工作,亦没有影响该合约的工程进度。顾问公司和承建商均没有向黑客缴交赎金。

(三)运输及房屋局表示,香港接线工程合约编号HY/2011/09内有列明根据发展局及资科办的资讯保安要求,承建商必须于驻工地工程人员的办公室内的电脑安装并定期更新防电脑病毒软件,及设定防火墙,以保护电脑资料。在事件发生后,路政署已要求所有驻工地工程人员及承建商立即加强其办公室内电脑的网络保安,提防类似事件再次发生。

(四)根据发展局提供的资料,政府部门需要在工程合约内,要求工务工程相关机构,根据政府资讯保安规格,在电脑资讯设备上装置保安软硬件,如防火墙及防毒软件等,并要适时更新相关资讯保安软硬件。至于公营机构,则可参考《政策及指引》,并根据本身的资讯科技保安政策和业务需求,自行制定适当的防御措施。

(五)发展局表示,工务工程相关机构须根据合约内有关政府资讯保安规格的要求,适时更新相关资讯保安软硬件,以应对新兴保安威胁。相关机构要最少每两年执行一次电脑系统及资讯保安风险评估,及由第三方进行独立审计,确保保安软硬件妥善更新。

(六)及(七)现时政府电脑使用微软视窗的版本,包括视窗10、视窗8.1、视窗7、视窗Server 2008/2012/2016,以及小量视窗Vista、视窗XP等。离线作业电脑主要是装置了视窗Vista及视窗XP。资科办已敦促各局和部门,确保所有装置了微软视窗的电脑已安装针对勒索软件WannaCry的修补程式和其他的更新程式。

(八)《政策及指引》规定部门须适时利用最新保安修补程式及采取其他有效的保安措施,保护资讯系统免受已知保安漏洞的影响。资科办亦发布了《软件资产管理参考指引》及《软件终止支援管理的实务指南》,供各局和部门参考及拟备升级或更换计划。至于微软视窗系统,政府已开展视窗7的升级工作,以期在微软于二○二○年终止向该版本提供支援前完成。
     
(九)政府一直密切监察网络攻击的趋势及有关的保安威胁。在政府内部,我们采用多层保安措施保障网络安全,包括防火墙、入侵侦测及防御系统、垃圾邮件过滤系统、防电脑病毒方案及实时监测工具等。

  为防御电脑勒索软件WannaCry的威胁,资科办多次向所有局和部门发出指示,包括须即时为重要的政府资料作备份和确保已安装最新的保安更新程式。政府电脑保安事故协调中心亦与本地及其他地区的协调中心保持密切联系,通报网络安全威胁的信息,增强预警能力。

  面对日益增加和复杂的网络保安威胁,政府会继续加强应付资讯保安事故的能力。资科办会适时检讨和更新《政策及指引》,现时的版本是在二○一六年年底,参照最新国际标准及业界良好作业模式作出更新,加强了各方面的资讯保安要求。

  至于公众和公私营机构方面,香港电脑保安事故协调中心会继续发放资讯保安事故的消息和防御及应变指引,并提供支援服务。该中心亦会继续联络本地和外地的组织,收集和发放有关网络威胁的讯息和预警。资科办、香港电脑保安事故协调中心及警务处会继续联手应对网络安全的威胁。
 
2017年5月31日(星期三)
香港时间16时45分
即日新闻