新聞背後/保障網絡安全 政府機構尤為關鍵\卓 銘
為應對使用即時通訊軟件存在的安全隱患,特區政府日前向內部推出新資訊科技保安指引,規定員工必須獲批准才能於辦公室使用電腦桌面版的WhatsApp、Gmail及其他雲端軟件。這是防止政府部門電腦被入侵、保障香港整體安全的必要迫切之舉。但一些亂港勢力又開始忙不迭稱「小題大做」,甚至上綱上線攻擊政府「打壓自由」、「與國際脫鈎」云云,這些言行要麼是刻意誤導,要麼是別有用心。
據創新科技及工業局局長孫東昨日指出,過去一年來,政府內部電腦系統被入侵的情況嚴峻,若然繼續使用現有的即時通訊系統,無疑存在重大安全隱患。因此雖然新指引會為政府人員帶來不便,但仍然有必要實施。他也強調當局參考了各地政府通用的做法,包括美國等國家,對內部電腦系統均有嚴格規範。
孫東的回應指出了兩個重點。
第一,是政府電腦系統面對的安全風險是真實存在的。就在今年上半年,一個星期內機電署、公司註冊處、消防處三個政府部門竟然接連發生市民資料外洩事件,受影響人數超過13萬人。在更早之前,數碼港、消費者委員會亦發生電腦系統被黑客入侵和勒索的事件,涉及約1.4萬人。
其中機電署的安全事故更與網上平台的使用有關,當時有專家指出,署方可能為方便政府人員在外勤工作時瀏覽資料,原來應存放於須獲授權人士以密碼方式登陸網上伺服器平台的資料,最後竟可在網上供人任意瀏覽。這一方面當然涉及相關人員本身的粗心,另一方面亦不能不重視部門對於網上平台可能造成資料外洩的輕忽。
不論是事件涉及的人數,還是事件發生的頻率,都足以說明政府部門以至公營機構的資訊安全問題必須引起重視。政府部門掌握全港700多萬市民各方面的個人資料,就算只是一宗資料外洩事件,就足以產生非常嚴重的後果。因此政府限制通訊軟件及雲端平台的使用,是為保障資訊安全的必要之舉。
第二點,是各國政府對於內部電腦系統的安全均有嚴格規範。去年,時任法國總理博爾內簽署了一份通告,要求政府所有部長和內閣成員在期限內刪除所有未經法國國家信息系統安全局審核的通訊程式,其中就包括了WhatsApp、Telegram及Signal等應用程式。不但如此,從去年年底開始,當地政府人員只能使用指定的應用程式,除此之外一律不得使用任何其他通訊軟件;再稍遠一點,2021年荷蘭政府教育部亦曾指出谷歌旗下的平台對元數據有完全掌控權,具潛在風險,因此決定在政府辦公室禁止使用谷歌。
事實上,整個歐盟對於資訊安全的監管也極為嚴格。WhatsApp於2021年更新私隱政策,要將賬戶電話號碼等資料與Facebook分享,否則用戶將無法繼續使用程式,便使其多次變成歐盟「座上客」。2021年9月,WhatsApp被指沒有向歐盟居民充分說明如何使用他們的數據,違反歐盟數據隱私法對信息透明方面的要求,而被罰款2.25億歐元(近19億港元);去年WhatsApp再被愛爾蘭資料保護委員會指控違反歐盟的個人資料保護法規,而遭罰款550萬歐元(約4600萬港元)。
可見,即使在西方民主國家,禁用或管制個別通訊軟件也可以說得上是稀鬆平常。對比下來,特區政府的新指引雖然說是禁用,但仍留有較多轉圜空間,例如手機等移動裝置尚不受限、WhatsApp也不過僅受限於電腦桌面版。如果這也能扯到特區政府限制自由云云,那上述西方國家的所為又算什麼?當時又為何不見同一班人出聲批評?這是徹頭徹尾的雙重標準。
而就算是坊間不少私人公司或機構,尤其是金融機構或銀行,為防止客戶信息外洩或有人從事非法活動,也會要求員工禁用外部通訊軟件。去年就有報道指,摩根士丹利對曾違規使用外部通信軟件,包括使用WhatsApp處理公司業務的員工進行罰款,按其涉及的通信量、職位階級,最高金額可達逾百萬美元。
而美國政府在這方面的規管亦尤其嚴格,例如2022年,美國銀行、花旗集團以及高盛等16間華爾街金融公司,就因為未能監控員工使用未經授權的應用程式,涉違反美國監管機構規定,遭有關當局重罰總額近20億美元(約160億港元),是有史以來美國銀行因保存紀錄失誤而面臨的最大罰款。
某程度上,特區政府現在才宣布限制使用部分外部通信軟件,已經算是「遲來之舉」,但對於確保政府資訊安全而言,這無疑是必要之舉,也跟什麼限制自由、與外國脫鈎沒有任何關係。即便短時間內可能對政府人員構成不便,但長遠並不會對香港的國際地位造成任何影響。如果某些人執意要藉此批評特區政府,只能說他們對於資訊安全,抑或現實世界如何運作,都根本一無所知。