【網絡安全】網絡攻擊活動激增 金發局3層面助應對
▲ 金發局行政總監區景麟表示,希望能制訂清晰的網絡安全政策方向,解決港企應對網絡攻擊的問題。
新冠肺炎疫情下網絡活動激增,企業邁向數碼轉型和採用雲端服務,促使全世界的網絡罪犯蠢蠢欲動,複雜的網絡攻擊只會有增無減。惟本地企業面對網絡攻擊威脅的應變能力水平依然參差不齊。香港金融發展局(金發局)早前就三個層面,借鑒外國實例提出建議,盼構建全面的網絡安全框架,解決問題。
【網絡騙案】香港成為網絡攻擊及騙案的熱門地 受害人有何應對方法?
金發局行政總監區景麟日前接受本報專訪時表示,疫情爆發後,企業應用科技的機會更多,對雲端及在線協作工具的日益依賴,不法份子會更把握機會,利用網絡漏洞入侵攻擊,應對網絡風險的需求亦更見迫切。
他引述香港警務處資料指出,2021年上半年科技罪行數目達7,270宗,比去年同期增加13%,其中釣魚電郵騙案是目前最普遍的網絡安全漏洞。他舉例指,早前就有黑客以釣魚電郵入侵一間企業電郵系統,先竊取商業交易資料,繼而冒認其外國供應商,並以電郵發送附有「副總裁」簽名的文件,聲稱更改了收款戶口,甚至通話進行「確認」,最終騙取貨款高達7,600萬元。
區景麟直言,網絡攻擊除了為企業帶來直接的經濟損失外,還有間接成本,如資料被竊、法律及監管責任、聲譽受損等問題。
涉政策法規運作 制定網安路綫圖
不過,要確保網絡安全,又要避免監管措施窒礙市場進一步發展而適得其反,並非一件易事。區景麟也笑稱:「工作確實舉步維艱。」因此金發局認為,目前要先制訂清晰的網絡安全政策方向,才可提供一個安全的市場環境予企業、投資者和公眾。
區景麟分別在政策、法律及監管、和運作層面上提出建議。首先在政策上,區景麟表希望為香港制訂專門的網絡安全路線圖,建議設立的統籌負責的管治機構,例如設立一個獨立委員會,類似澳洲信號局(Australian Signals Directorate)或新加坡網絡安全局(Cyber Security Agency of Singapore);也可設立一個跨局/跨部門的工作小組,統籌監管及執法行動, 與網絡安全相關的所有工作,包括本地能力建設、基建檢討及國際合作,都可以由單一機構負責。
而法律及監管層面上,金發局盼能立法保護網絡空間,條例可涵蓋建立問責架構(包括網絡事故的調查、報告及執法,包括民事及/或刑事訴訟程序)、識別及界定「關鍵資訊基建」等。
此外,也應統一各項金融規例。區表示,目前金管局、保監局及證監會各有相關指引,如證監會要求持牌機構在發生任何重大的網絡保安事故時立即向證監會匯報;保監局則要求保險公司於發生相關事件後「在切實可行範圍內盡快」匯報事件,而且在任何情況下「須在偵測到該事件後的72小時之內」匯報。他強調:「不同行業對規例的不同,或會令市場感到困惑,從而影響香港營商環境。」因此金發局期望能成立跨機構督導小組,統一整個金融業網絡安全的監管系統。
參考澳洲、中國做法 促進人才發展
至於運作層面,區則認為應促進人才發展,建議港府可參考其他司法管轄區,如澳洲、中國內地及新加坡的做法,建立一個網絡安全培訓機構。
同時也建議政府對金融服務業進行一系列網絡壓力測試。另外也可參考美國的「避風港(Sheltered Harbour)」計畫,讓參與計畫的機構可以直接儲存資料或委託第三方儲存資料。當網絡事故發生,已存儲的資料將透過業界建立的標準統一檔案格式進行驗證、 格式化、加密及傳輸,相關資料可以在一周內復原並讓受影響的參與機構存取。
【網絡安全】企業網絡保安準備指數微升2.7 中小企網絡保安意識增
記者:曾曉汶
