立法會八題:網絡安全
**********
以下是今日(十二月七日)在立法會會議上廖長江議員的提問和創新及科技局局長楊偉雄的書面答覆:
問題:
據報,有一項調查的結果顯示,香港是亞太區內去年發生網絡安全事故最多的地區,而且有多達百分之七十一的受訪香港企業表示,其公司於去年曾發生網絡安全事故。香港警務處去年一月將科技罪案組升格成為網絡安全及科技罪案調查科(調查科),以加強防止及打擊科技罪行和應付網絡安全事故。政府於今年六月向上屆立法會人事編制小組委員會建議開設一個常額總警司職位以領導調查科,但該建議至上屆立法會會期中止時仍未獲處理。就此,政府可否告知本會:
(一)當局是否了解上述調查的結果;如果掌握,有沒有採取跟進行動;如有,詳情為何;如沒有,當局如何減少香港企業遇到網絡安全事故的情況;
(二)過去五年,當局有否就香港企業(尤其是中小型企業)面對的網絡安全狀況及其如何應對網絡安全事故進行調查;如有,詳情為何;如否,當局如何根據實際情況,向企業提供適切支援;
(三)當局會否考慮把現時調查科、香港生產力促進局轄下香港電腦保安事故協調中心,以及政府資訊科技總監辦公室轄下政府電腦保安事故協調中心各自負責的網絡安全工作統一撥歸一個部門負責,以集中資源統籌及處理網絡安全的事宜;
(四)有否統計,過去五年每年第(三)項提及的三個工作單位由發生網絡安全事故至發出警報,平均所用時間分別為何;當局有否為該三個工作單位制訂相關的工作成效指標;及
(五)有否評估,上述總警司職位至今尚未開設的情況,對警方防止及打擊科技罪行和應付網絡安全事故的工作有何影響;政府再次把開設該職位的建議提交本會的安排以及為該職位制訂的工作計劃詳情為何?
答覆:
主席:
政府非常重視資訊保安,一直密切監察網絡攻擊的趨勢及有關的保安威脅。政府各決策局和部門(局和部門)一直推行多層保安措施,以監測、偵察及堵截資訊系統及網絡可能受到的惡意攻擊,並及早採取相應措施,保護政府資訊系統及網絡免被入侵。政府資訊科技總監辦公室(資科辦)亦聯同香港警務處和香港電腦保安事故協調中心(香港協調中心)透過不同渠道,積極向企業及公眾適時提供及發放有關網絡安全的資訊和建議,讓企業和公眾了解各種潛在的保安風險及相應的緩減方法,提升香港整體的網絡保安能力,應付新興網絡威脅所帶來的挑戰。
就問題的各部分,經諮詢保安局後,現回覆如下:
(一)政府一直留意全球資訊保安趨勢及發展,當中包括相關的調查報告。提及的報告指出,百分之七十一香港受訪者表示其企業在過去一年曾發生安全事故。報告亦同時顯示,香港有較高的網絡攻擊數字是因為其企業有較高的偵察能力——百分之三十四和百分之四十三的香港受訪者分別只需數分鐘和數小時便能察覺被入侵,比亞太區平均值為高;此情況亦反映香港企業有一定程度的保安能力。另外,調查顯示過去數年分散式阻斷服務攻擊是主要的攻擊手法,但勒索軟件已成為當下的主流攻擊方式。
為進一步提高中小企對資訊保安的認知及對網絡保安威脅,包括勒索軟件的防禦能力,政府、香港協調中心與業界和不同的機構合作,不時透過專題研討會、電台節目及派發宣傳單張等,提醒企業和市民加強網絡安全措施,保護其資訊系統及數據資產。
因應今年本港勒索軟件感染事故個案大幅增加,自今年三月起,資科辦、香港警務處及香港協調中心以「防禦勒索軟件」為主題,為關鍵基礎設施營運商、企業及機構、學校及公眾分別舉辦多個主題研討會。研討會有助他們更深入了解勒索軟件的感染途徑、影響和過程,同時了解有關應對勒索軟件攻擊的策略和技術,以有效預防勒索軟件攻擊。資科辦亦製作了一套「提防遭受勒索軟件感染」的資訊圖表及題為「預防勒索軟件」的學習課程,通過網絡安全資訊站、報章和電子傳媒,向中小企及公眾發放有關勒索軟件攻擊的信息,並提供相關實用建議和風險緩解措施,提醒公眾採取必要的預防措施,免受勒索軟件攻擊。
此外,為了加強中小企的長遠競爭力,創新科技署於十一月二十一日在創新及科技基金下推出五億元的科技券計劃,資助中小企使用科技(包括協助企業提升資訊保安的資訊科技)服務和方案,以提高生產力或升級轉型。計劃以二對一的配對模式,為每間合資格的中小企提供最多20萬元資助,而有關中小企必須投入不少於項目成本三分之一的資金。
為加強打擊科技罪行及應付本港網絡安全事故的能力,警方在二○一五年一月成立網絡安全及科技罪案調查科(網罪科)。當中的網絡安全中心更是24小時運作,加強警隊和不同持份者的溝通和協調,以預防及更有效應付可能發生的攻擊事故。在防止網絡安全事故及科技罪案的宣傳教育方面,網罪科一直與各持份者聯繫及進行情報交流,並不時舉辦相關的講座及活動,加強市民及企業對網絡安全及科技罪案的意識。
(二)資科辦委託政府統計處每兩年進行一次「資訊科技在工商業的使用情況和普及程度統計調查」,當中包括工商業遭遇資訊保安事故的統計。對上一輪的調查在二○一五年三月至十二月間進行,涵蓋約275 900間有使用電腦/智能手機/互聯網的機構。其中約百分之十六的機構在被訪問前的十二個月內曾遭遇資訊保安事故,當中約百分之七十三的機構曾受到「電腦病毒」入侵,其次是「拒絕服務攻擊」(百分之三十一)及「黑客入侵」(百分之八)。在應對網絡攻擊方面,大部分(約百分之八十五)採用「定期更新病毒識別碼/抗電腦病毒軟件」及建立「防火牆」,另外各有約百分之七十二有實施「定期為對業務運作重要的數據進行備份」及「定期更新操作系統修補程式」等保安措施。
(三)現時資科辦轄下的政府電腦保安事故協調中心(政府協調中心)、警方的網罪科及香港協調中心,分別為不同持份者包括政府部門、關鍵基礎設施、公私營機構及市民大眾提供網絡安全相關的資訊及支援。
政府協調中心專責協調處理政府內部的資訊及網絡安全事故,包括回應、協調及處理政府內部資訊保安事故、發放保安警報及預警,以及提供有關保安措施的建議等。香港協調中心則專責為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務,以及提高保安意識,同時與區內及國際的電腦保安事故協調組織建立聯繫,適時分享保安資訊。而網罪科的成立則是為了加強警方保護關鍵基礎建設的資訊系統安全,以及提升警方在預防及打擊科技罪案的能力。
三者之間現時有清晰的職責分工,亦有不同的職能和持份者,同時三方亦已建立良好的合作機制,運作模式行之有效,能為不同持份者提供適切的支援。我們沒有計劃改變現行的安排。
(四)政府協調中心會因應保安漏洞及保安事故,適時向各局和部門發出保安警報及催辦便箋,協助各局和部門採取有效和迅速的應對措施,以預防及減低電腦系統受到網絡攻擊的風險和影響。香港協調中心亦會因應電腦系統及程式的保安漏洞,向企業及公眾發出保安公告。每個保安漏洞或每宗保安事故都有其獨特性,需要搜集相關細節,進行剖析、評估影響範圍、查找源頭及擬定有效解決或緩減方案,才可向可能受影響的政府部門、機構或公眾人士發出有效警告及提供應對建議。一待資訊齊集,兩間協調中心便會即時發放警報,令相關持份者及早實施可行的預防措施。儘管兩間協調中心並沒有就發出警報的時間作統計,但一般來說,兩間協調中心均能在發現保安漏洞或保安事故的數小時內發出警報。
在過去五年,政府協調中心及香港協調中心每年發出警報的數字表列如下。發出保安警告是其中一種預防事故的手段,我們會按需要發出警報,並沒有相關工作的成效指標。
| 二○一二年 | 二○一三年 | 二○一四年 | 二○一五年 | 二○一六年(截至十月) | |
| 資科辦向局和部門發布的嚴重保安警報 | 71 | 76 | 71 | 82 | 72 |
| 香港協調中心向企業及公眾發布的保安公告 | 429 | 470 | 348 | 352 | 292 |
此外,網罪科的網絡安全中心24小時運作,因此在發生針對關鍵基礎設施的網絡安全事故時,警方亦可提供即時協助。警方沒有備存相關的統計數字。
(五)隨着網罪科在二○一五年一月成立,警務處致力提升及擴展在不同範疇的能力,包括偵查集團式及高度複雜的科技罪案、適時進行網絡威脅的審計及分析、提升重大網絡安全事故或大規模網絡攻擊的應變能力及專題研究,以及加強與本地持份者和海外執法機關的合作和情報交換。
網罪科肩負起統籌香港應對科技罪行及網絡攻擊措施的使命,但一直欠缺一個總警司作專職領導。網罪科成立已接近兩年,實有迫切需要開設一總警司常額職位。若網罪科繼續欠缺專職的首長級領導,將難以持續應對日趨複雜的挑戰、制訂及推行有效策略,及確保該等策略得以順利推行。若目前的狀況持續,更可能影響網罪科多方面的能力,包括:
(i)在香港的關鍵基礎設施受到大規模網絡攻擊時動員警隊其他專責單位參與行動;
(ii)就偵查科技罪行訂立目標、政策和長遠策略;
(iii)統籌警區及政府部門應對科技罪行及網絡攻擊的各項工作;以及
(iv)就適當分配資源及訂立發展方針等事宜作出高層和刻不容緩的決定。
事實上,由於網絡安全問題及科技罪行迅速演變,並超出傳統司法管轄區的界限,網罪科必須與本地及海外持份者在網絡安全上加強合作,推廣教育宣傳,並在有需要時提供資料協助案件調查。在海外先進國家,與網罪科相類的執法單位主管,其職級一般至少等同香港警務處總警司的職級,反映這些國家對應對網絡安全威脅及打擊科技罪行的重視。同樣,香港警務處需要總警司級別的首長級人員,與本地及海外執法機關建立緊密聯繫,以及與不同夥伴及持份者協力打擊科技罪案及維護網絡安全。
網罪科總警司一職具有廣泛、專業及十分重要的職能。設立總警司職位如進一步延遲,將會嚴重影響警務處及香港對網絡攻擊的應變能力,繼而令香港極容易成為網絡罪犯發動網絡攻擊的目標。有見及此,保安局及警務處剛於十二月六日就開設網罪科總警司職位一事諮詢保安事務委員會,並期望建議能盡快獲得人事編制小組委員會及財務委員會通過。
完
2016年12月7日(星期三)
香港時間15時00分