標書少提網安 保密體系不全
專家總結三弊:業者缺統一認證 招標要求待提高 外判欠計分問責
特區政府部門近期接連出現網絡安全事故,有資訊保安專家指出,事件反映的不光是部門問題,更是資訊科技行業整體問題,凸顯行業三大弊病:全球有各類型網絡安全標準,但香港未有統一的資格認證,從業人員難免良莠不齊;以往招標合約對網絡安全、個人私隱的着墨不多,但隨着市民愈發關注私隱,標書必須提高對網絡安全的要求。他認為,香港資訊科技外判制度缺乏問責制,建議特區政府效法建造業外判制度設立計分制,使服務未符預期的承辦商日後難參與投標或中標,促使承辦商更重視網絡安全。特區政府資訊科技總監辦公室在回覆香港文匯報查詢時表示,政府目前有機制監察承辦商表現,有權暫停表現不達標的承辦商競投新的報價邀請,直至其表現有所改善(見另稿)。 ◆香港文匯報記者 張弦、王僖
本身從事資訊科技的香港特區立法會議員吳傑莊向香港文匯報表示,資訊安全範疇廣泛,包括搭建系統、防火牆等,「有些大判會購買系統交付給政府,該系統會經過第三方測試,之後整個招標過程就通常不會再睇外判商或第三方有否符合國際標準或水平,而是看他們之前做過什麼項目、工程師有無通過國際認證考試等。」
或有部門不重視政府要求
在招標準則方面,他指出,政府部門一般會進行技術評分、價錢評分,並視乎部門實際情況決定有關評分的佔比,有些着重技術,有些更着重價錢。
部分資料外洩事故由部門內部運營過程中出現,但其實特區政府內部建議要求每一兩年委託第三方公司進行黑客攻擊系統測試,找出漏洞及需要改善的地方,相隔幾個月更需要更新系統,但近年發生多次的資料外洩事故,相信是部門不重視網絡安全導致。
近期事故外判非專攻數據處理
綜合資訊科技界的意見,近期的網絡安全事故反映香港資訊科技行業的普遍問題。「中港網絡安全協會」創會主席葉青陽指出,今次「出事」的外判承辦商,不少並非主力從事數據處理,他解釋資訊科技範疇廣闊,網絡安全是其中一範疇,需要專業鑽研,「今次多宗事故,部分涉事承辦商專長或是資訊科技,卻並非處理數據的專業,沒有做到資料使用後即刪除。」
香港大學資訊保安及密碼學研究中心計算機科學系副教授鄒錦沛向香港文匯報表示,特區政府招標網絡服務商,標書上會列明要設計什麼系統、所需功能、需要的後續服務,參與招標的服務商必須提供合乎要求的資格,包括證書、業績、公司經營狀況等,只要符合所有要求,那麼價低者得無可厚非,畢竟要節約公帑。
明確安全級別與投入更多成本
「問題是政府的標書,有無列明所要求的網絡安全級別、內容。」鄒錦沛解釋,以往社會上對個人隱私、網絡安全方面欠缺足夠重視,而政府招標網絡服務商,也更重視所設計系統的功能性,可能對保密級別、網絡安全、個人隱私保護方面要求不足。
他說:「如果標書列明要做到一定保密級別,例如要進行反網絡滲透,以及個人隱私保護,那麼網絡服務商當然會按要求去做,以達到標書標準。如果沒要求,那麼就不會做這些額外設計,以節省成本。畢竟網絡安全除了系統設置會複雜很多,還需要定時測試,及時補足安全漏洞,需要額外的工作時數,亦需向政府收取相關費用。」
鄒錦沛建議特區政府全面檢視各政府部門的網絡安全,制定相應的安全級別,並向各部門網絡服務商諮詢,檢查並補足網絡安全漏洞。