立法会七题:政府部门及公营机构的资讯保安
*******************
问题:
上月,投资推广署发生电脑系统遭恶意勒索软件入侵的资讯保安事故,其内部客户管理系统、内联网、网站运作等均受到影响。就政府部门及公营机构发生网络安全的事故,政府可否告知本会:
(一)过去三年,政府部门及公营机构遭恶意勒索软件入侵的以下资料:(i)个案宗数、(ii)涉及的政府部门及公营机构、(iii)涉及泄漏个人、客户或内部资料的个案宗数,以及(iv)涉案不法分子被拘捕的人数;
(二)鉴于香港正积极招商引才,政府有否收到上述投资推广署资讯保安事故的公众投诉或查询;如有,数目为何;政府有否评估,该资讯保安事故有否影响投资者对投资推广署资讯保安的信心,甚至影响投资者来港投资的意向;及
(三)政府有何措施提升政府部门及公营机构电脑及资讯系统的保安,以及预计何时会就有关措施的成效进行检讨,以持续确保该等部门及机构有关系统的安全?
答覆:
主席:
就林健锋议员的提问,经统筹保安局及商务及经济发展局提供的资料后,现回覆如下:
(一)根据《政府资讯科技保安政策及指引》,相关决策局/部门(局/部门)在发生政府资讯保安事故后须向数字政策办公室(数字办)辖下的政府资讯保安事故应变办事处通报,并视乎事故性质通报个人资料私隐专员公署(私隐专员公署)及/或警方。
在二○二二年、二○二三年及二○二四年,数字办分别接获五宗、三宗及两宗政府资讯科技系统遭受勒索软件攻击的通报。以上事故均没有导致任何资料外泄。基于事件的性质、资料敏感性及保安考虑等,相关部门认为不宜公布有关详情,以免增加政府系统被恶意入侵的风险。数字办在收到上述通报后已即时协助相关部门处理事件,并提供技术意见,以提升部门的资讯保安。
至于公营机构方面,数字办或香港网络安全事故协调中心在过去三年并没有接获公营机构就遭受勒索软件攻击而引发的资讯保安事件通报。惟我们留意到个别公营机构曾因应事件的性质及具体情况,主动向外发出事故公布。为提升公营机构的资讯保安及加强事故通报机制,政府于二○二四年八月起规定公营机构在其指定资讯科技系统发生事故后须通报相关局/部门。截至今年三月中旬,政府并没有收到相关报告。
视乎案情,勒索软件攻击有机会违反「刑事恐吓」(《刑事罪行条例》第24条)、「刑事毁坏」(《刑事罪行条例》第60条)、「有犯罪或不诚实意图而取用电脑」(《刑事罪行条例》第161条)或其他相关罪行。警方并未就勒索软件攻击的拘捕数字作分类统计。
(二)关于投资推广署于今年二月二十二日发现的一宗涉及恶意勒索软件攻击部分电脑系统的资讯保安事故,署方于发现事件后已即时采取行动,加强系统的安全措施,防止进一步受到勒索软件攻击;并已即日按既定程序向警方报案,以及向数字办、私隐专员公署和保安局通报事件。根据署方调查所得,未有证据显示事件涉及个人资料外泄,亦没有再侦测到任何可疑的活动情况。截至今年三月中旬,署方并没有收到与今次资讯保安事故相关的公众投诉或查询。事件发生后,投资推广署及时发布新闻稿向公众及该署客户清楚解释情况,相信事件未有影响投资者的信心。投资推广署一直根据政府既定程序执行资讯及网络保安工作,亦会继续配合数字办及专家的建议加强系统的安全措施,防止类似事件再次发生。
(三)为加强局/部门及公营机构的资讯科技安全,政府已推行多项优化措施,要求各局/部门及其负责的公营机构提升资讯科技系统的项目管治和保安工作,重点措施包括:
(i)强化监督责任:各局/部门须指派一名高级首长级政府官员或相关机构管理团队的主管或副主管负责监督资讯保安工作,并即时检视其现有的网络安全措施,加强防范工作,抵御网络攻击。
(ii)恒常测试、评估及审核:各局/部门及公营机构必须在其资讯科技系统推出前安排由独立第三方进行的压力测试及保安测试,并至少每两年为其所有资讯科技系统进行一次保安风险评估。保安风险评估会根据风险源头(例如漏洞、威胁)、事件(例如事故场景)、风险的影响和可能性等来决定进行缓急排序以作风险处理及更新应变措施。
(iii)系统健康检查、渗透测试及遵行审计:数字办增设中央网络安全健康检查平台,定期及持续地为政府面向公众的资讯科技系统进行健康检查及渗透测试,以加强局/部门识别系统潜在的安全漏洞,从而加强防范资讯及网络保安事故。数字办亦于二○二四年展开新一轮的全政府资讯保安遵行审计,及会选定八个政府资讯科技系统在二○二五年进行深入资讯保安遵行审计。
(iv)实境网络安全攻防演练:数字办由二○二四年起每年统筹主办实境网络安全攻防演练,邀请不同的局/部门及公营机构参与,模拟真实的网络攻击,以测试资讯科技系统在遇到网络攻击时的反应和应变能力,以期通过实战演练提升局/部门和机构应对网络攻击的技术、经验和整体防御能力,以攻筑防。
(v)加强员工培训:数字办联同公务员学院筹办「创新与科技」系列专题讲座予各局/部门的高层管理人员,并提供最新的网络安全趋势及预防措施,藉此提升他们的资讯保安知识。
完
2025年3月26日(星期三)
香港时间12时25分
香港时间12时25分