【時評】立法保護關鍵設施網安宜早不宜遲
近年本港積極推進智慧城市和數字經濟建設,社會各界對電腦網絡系統的依賴程度愈來愈高,遭到網絡攻擊的數字亦十分驚人。為此,政府明確表示有意訂立全新法例,加強保護本港的關鍵基礎設施電腦系統安全。保安局局長鄧炳強昨日透露,目標在年底前提交立法會審議。當前全球網安形勢嚴峻,保護關鍵基礎設施電腦系統,事關市民生命財產安全及香港的國際樞紐地位,各方必須全力以赴,盡早完成立法。
政府數據顯示,香港網絡安全事故協調中心由去年6月至今年5月,共接獲9,017宗網絡保安事故通報,政府資訊科技辦公室亦透過政府電腦保安事故協調中心處理了9宗相關事故。由於本港現時沒有針對保護關鍵基礎設施電腦系統的法定要求,導致部分關鍵設施營運機構的安全責任意識薄弱,一些原本能輕易防範的網安事故(如遺失載有機密數據的裝置,佔23%)接連發生。
遺失流動存儲裝置看似沒有什麼大不了,但內部數據卻可以被黑客利用進行各種各樣不法活動,包括破壞、癱瘓體育設施或表演場地等,將觀眾作為人質進行勒索;或者透過木馬或釣魚程式,盜取用戶電子錢包金錢。連網絡科技發達的美國,幾年前其中一個大型燃油運輸管道營運商的電腦系統亦被黑客攻陷勒索,導致多個州份市民的日常生活連續幾天陷入癱瘓。美國尚且如此,香港更加不能輕視關鍵基礎設施電腦系統安全的保護。
政府前日提交立法會相關委員會的討論文件顯示,新法例下關鍵基礎設施包括能源、資訊科技、金融、海陸空交通、醫療保健、通訊廣播,以及維持重要社會經濟活動所必需的設施。從全球其他地區的經驗所見,立法確立營運者責任後,能提升相關機構系統設計、設備和專業人員配置,以及責任規管和預防應變水平。如此,本港發生的這類網安事故將大幅減少。
不過,當前網絡智能科技發展迅速,網安形勢錯綜複雜。針對大型機構和關鍵基礎設施進行網安防範固然重要,但佔據本港商業絕大多數的中小企網絡及數據安全亦不容忽視,否則有可能成為黑客發起攻擊的跳板。從速立法保障關鍵設施網安是非常重要的第一步,之後還需要因應社會整體,建立多層次網安防護網,這方面的工作任重道遠。
