跳至主要內容

立法會十九題:香港的資訊保安
**************
  以下是今日(十二月十四日)在立法會會議上莫乃光議員的提問和創新及科技局局長楊偉雄的書面答覆:
 
問題:
 
  近年本港資訊保安事故及網絡罪案頻生,而且犯案手法及所涉科技日趨複雜,令政府部門、金融系統及企業的網絡受到威脅。警方今年首八個月接獲49宗以加密勒索軟件進行勒索的案件,當中五宗個案所涉損失總額近七萬元。此外,香港生產力促進局轄下香港電腦保安事故協調中心今年首九個月接獲247宗以加密勒索軟件進行勒索的報告,按年增三倍多。就提升本港政府部門、金融系統及企業業務營運的資訊保安,政府可否告知本會:
 
(一)是否知悉,過去三年每年分別有多少宗(i)政府部門及(ii)其他機構的電腦或網站遭到網絡攻擊及遇到資訊保安事故的報告,並按部門/機構名稱及事故類別(包括網頁塗改、入侵網絡及資訊系統、分散式阻斷服務攻擊及以加密勒索軟件進行的勒索)列出分項數字;
 
(二)鑑於今年十月海事處海港巡邏組及食物環境衞生署食物安全中心辦事處的電腦先後被黑客植入或入侵,該等事故令政府蒙受的金錢損失分別為何;當局有否檢討各政府部門使用的電腦系統和防毒軟件是否足以防禦釣魚網站、殭屍網絡、惡意軟件、分散式阻斷服務攻擊等網絡攻擊;
 
(三)鑑於早前衞生署臨床訊息管理系統的免疫接種記錄系統伺服器疑遭黑客入侵,當局如何加強其臨床訊息管理系統的保安,以保障市民的個人資料及私隱;
 
(四)鑑於政府資訊科技總監辦公室表示計劃於今年年中增設一個專責小組,以加強應對網絡威脅,該小組(i)是否已經成立、(ii)已進行及計劃進行的具體工作分別為何,以及(iii)會否為各政府部門的資訊保安進行評估及審計;如會,時間表為何;如否,原因為何;
 
(五)政府電腦保安事故協調中心自成立至今與警務處合作進行了多少次網絡保安演習,以及所模擬的網絡攻擊事故的類別及規模分別為何(按時序分別列出);
 
(六)香港警務處網絡安全及科技罪案調查科就應對網絡罪案所涉的工作範圍為何;該調查科有否參與保安局、創新及科技局,以及政府資訊科技總監辦公室的各類資訊保安工作,包括(i)進行保安風險評估及審計、(ii)推行保安技術方案,以及(iii)提升保安基礎設施;
 
(七)有多少間機構參加當局今年透過香港電腦保安事故協調中心舉辦的中小企業網站免費保安檢查先導計劃;當局有否及如何評估該計劃的成效,以及會否擴展該計劃,讓更多中小企業參與;鑑於中小企業面對較高的資訊保安風險,政府會否為中小企業提供額外的資助及支援,以協助中小企業加強網絡基建安全及提升資訊保安;
 
(八)鑑於今年十月美國發生黑客發動大規模網絡襲擊,令當地多個主要網站癱瘓,當局有否就本港推動智慧城市建設制訂資訊保安策略,以應對針對家居、個人和流動網絡裝置、商戶POS系統,以及物聯網系統的網絡攻擊;
 
(九)鑑於泰國及台灣近日先後發生黑客入侵銀行自動櫃員機系統事故,當局有何具體措施保障本港金融系統的資訊安全,以確保該系統能夠防禦同類黑客入侵的事件;會否就現時政府機構、金融機構、電訊公司等行業機構及其基礎設施的資訊保安進行全面的風險評估;
 
(十)當局有否配合本港發展智慧城市及金融科技的方向,評估本港長遠對資訊保安人員的需求;有否計劃制訂政策,培育資訊科技人員及網絡安全專家,以應對各種資訊保安的威脅;及
 
(十一)自二◯◯◯年檢討現行法例及相關行政措施後,當局有否計劃就加強資訊保安工作重新成立跨部門工作小組,以研究如何應對雲端科技應用帶來的新挑戰?

答覆:
 
主席:
 
  資訊科技發展日新月異,智能裝置愈趨普及,資訊保安及網絡攻擊所帶來的威脅亦為互聯網用戶帶來影響。政府一直密切注視網絡攻擊的趨勢及有關的保安威脅。政府資訊科技總監辦公室(資科辦)收集由網絡安全業界及世界各地電腦保安事故緊急應變小組發出的網絡威脅訊息,適時向各決策局和部門(局和部門)發出保安警報及催辦便箋,並協助政府資訊科技管理人員及各局和部門的資訊保安事故應變小組,作出即時應變及加強防範措施。
 
  就問題的各部分,經諮詢保安局、商務及經濟發展局、財經事務及庫務局及其他相關部門後,現回覆如下:
 
(一)在過去三個年度,資科辦共接獲31宗政府部門的資訊保安事故報告。而香港電腦保安事故協調中心(香港協調中心)在過去三年,共接獲本地企業及用戶13 517宗資訊保安事故報告。有關的事故類別詳列於附件。
 
(二)就海事處海港巡邏組及食物環境衞生署食物安全中心辦事處的電腦被黑客入侵的事件,相關部門已即時按既定的資訊保安事故應變機制和程序妥善處理。由於入侵事件是由勒索軟件引致,資科辦亦即時向各局和部門發出有關加強防範勒索軟件的催辦便箋和指引,要求各局和部門加強檢查電腦系統設置及抗惡意程式軟件等,以確保政府內部的資訊保安防禦能力。政府並沒有因有關事故蒙受金錢損失。
 
  政府已就保護政府資訊系統和網絡方面制備整體管理架構、技術措施及保安機制,密切監測政府資訊和網絡系統的運作,以偵察及堵截可能受到的不同類型網絡攻擊。各局和部門都必須遵從政府的資訊保安政策及指引,採取適當的措施確保政府的資訊和網絡系統安全及運作正常,包括實施多層保安措施,例如使用防火牆、入侵偵測及防禦系統和抗惡意程式軟件等。各局和部門也要確保系統設置正確和及時安裝保安修補程式,避免個別的保安漏洞對政府的資訊系統構成威脅。它們亦須定期為其資訊和網絡系統進行保安風險評估和第三方審計,以確定其系統符合相關的保安要求及規例,並有足夠的防禦能力,保護政府系統和數據資產。
 
  此外,資科辦一直密切監察網絡攻擊的趨勢及相關的保安威脅,為各局和部門提供適時的技術支援及建議防範措施,透過發放技術指引、保安警報、催辦便箋和舉辦研討會等,提升他們的資訊保安意識及增強其預防、偵察及應對網絡攻擊的能力。
 
(三)衞生署在二◯一六年七月,發現其臨床訊息管理系統的免疫接種記錄系統被黑客入侵。衞生署已按既定程序處理有關事故,通報資科辦、個人資料私隱專員公署,以及將事件交由警方調查。衞生署亦已致函所有可能受影響的人士,建議他們提高警覺,留意個人資料有否被非法使用。
 
  針對個人及保密資料的保護,政府已訂立非常嚴格的資料保安要求及應對措施,限制只有獲授權人士才可接達和使用相關應用系統及數據,並須明確界定及定期覆檢數據接達權限,亦要求在儲存和傳送敏感數據及文件時,必須以業界認可標準進行加密,以確保政府數據資產得到適當保護。
 
  在二◯一六年,資科辦參照最新的ISO 27001國際標準及業界良好作業模式,對《政府資訊科技保安政策及指引》進行全面檢討,加強對個別範疇,包括儲存敏感資料、部門應對資訊保安事故的領導水平和能力等的保安要求。
 
(四)資科辦於今年七月增設一個專責小組以加強應對網絡威脅。該小組現正構建一個先導網絡風險資訊共享平台,利用大數據分析,對不同來源的網絡威脅資訊及數據進行整理及評估,向各局和部門發出更針對性的網絡威脅預警及提供應對建議。此外,資科辦將在今年年底開展新一輪保安「遵行審計」,評估各局和部門就《政府資訊科技保安政策及指引》的遵行情況,並在評估過程中,協助有關部門持續改善保安管理系統,以應對新興保安威脅。
 
(五)自二◯一四年起,警務處與不同的業界持份者以及本港的關鍵基礎設施機構舉行各類型網絡安全演習。二◯一四年,共有14個關鍵基礎設施機構參加了演習。二◯一五年,參與機構的數目增加至28個。網絡安全演習通過各種模擬事故場景,測試參與者的事故分析能力、常設的事故應變程序及溝通機制的運作。當中的模擬網絡攻擊事故包含了各種最常見而有深遠影響的情景,例如分散式阻斷服務攻擊、塗改網頁、入侵網絡及資訊系統、勒索軟件、惡意程式及敏感資料外洩等。
 
  警務處將在二◯一七年一月聯同資科辦舉辦一個涉及30個政府部門的大型網絡安全演習,加強政府部門保護資訊系統及處理網絡安全事故的能力。
 
(六)警務處網絡安全及科技罪案調查科(網罪科)在應對網絡罪案的工作範圍廣泛,主要職能包括:

(a)偵查集團式及高度複雜的科技罪行,以及積極進行情報主導的調查工作;
(b)適時進行網絡威脅的審計及分析,以防止及偵查針對關鍵基礎設施所作的網絡攻擊,從而為該等設施提供支援;
(c)提升對重大網絡安全或大規模網絡攻擊事故的應變能力;
(d)加強就網絡罪行的趨勢、犯案手法、電腦系統弱點及惡意程式的發展進行專題研究;
(e)加強與本地及海外持份者及執法機關的合作,以應付常見的科技罪行和網絡威脅;及
(f)進行有關網絡安全和科技罪行的培訓工作。

  網罪科自成立以來,一直與各政府部門以及業界持份者通力合作,以加強關鍵基礎設施資訊系統網絡的可靠性,及提升香港保護有關資訊系統網絡和防禦網絡攻擊的能力。
 
(七)為提升本地中小企業的網絡保安意識及對網絡攻擊的防禦能力,香港協調中心於今年年初聯同多個本地商會,舉辦中小企業網站免費保安檢查先導計劃,為中小企檢查其網站的健康狀況,建議改進措施,並在推行措施後驗證改進成效。有關計劃於今年年中完成第一輪檢查,為30間參與的中小企提供網站安全檢查報告及免費諮詢服務,並於八月舉辦座談會分享檢查結果及改進建議。第二輪檢查亦已完成。參與的中小企通過該計劃加深了解其網站的保安風險及認識網站保安的最佳實踐方法,加強對其網站的保護。資科辦會繼續與香港協調中心緊密合作,研究推行相關活動以提升本港中小企的網絡安全水平。
 
  創新科技署亦於十一月二十一日在創新及科技基金下以先導形式推出五億元的科技券計劃,資助中小企使用科技(包括協助企業提升網絡保安的資訊科技)服務和方案。
 
(八)在推動智慧城市發展的過程中,制定相關的資訊保安及技術標準是不可或缺的。在考慮推行物聯網的方案時,政府會評估相關環節的資訊保安風險,包括端點裝置、網絡系統、資料管理等,以符合政府保安規例及政策的要求。我們正為香港制定智慧城市發展藍圖開展顧問研究,範圍包括資訊保安及技術標準。研究預期於二◯一七年年中完成。
 
(九)香港金融管理局(金管局)一直與銀行業和警務處監察有關自動櫃員機的犯罪手法,包括黑客入侵海外銀行櫃員機,導致櫃員機自動吐出鈔票的個案。據金管局提供的資料,有關個案涉及植入惡意程式以入侵海外櫃員機,而相關櫃員機並沒有實施針對惡意程式保安措施。然而,所有本地的自動櫃員機均已按金管局的指引,實施針對惡意程式的保安措施。因應這些個案,金管局、銀行業及警務處已再次提醒銀行檢視相關的保安措施,以進一步減低本地自動櫃員機被入侵的風險。
 
  為加強香港銀行體系應對網絡風險的能力,金管局於今年五月宣布推出網絡防衛計劃。該計劃包括三大支柱:

(a)網絡防衛評估框架:評估框架的目的,是評估認可機構的網絡風險狀況及防範網絡攻擊所須達致的能力水平。評估結果將作為制定提高網絡防衛能力方案的依據,並讓金管局能夠全面掌握個別認可機構、以至整個銀行體系面對網絡攻擊的應變準備是否充足;
(b)專業培訓計劃:專業培訓計劃是一個由金管局與香港銀行學會及香港應用科技研究院(應科院)合作推出的本地認證計劃及專業培訓課程。推出上述綜合及有系統的課程的目的,是為認可機構以至資訊科技界培育專業的網絡安全從業員,藉此加強他們的網絡安全意識,和提高他們對網絡風險評估的能力和模擬測試的技術水平;以及
(c)網絡風險資訊共享平台:金管局和香港銀行公會合作推出網絡風險資訊共享平台,以支援模擬測試及便利認可機構分享有關網絡風險的資訊。相關的網絡風險資訊會從不同的可靠途徑收集回來,並加以分析及分享給平台使用者,當中會包含詳盡的網絡風險分析報告及建議。香港銀行公會的會員銀行可以透過這平台獲取最新風險資訊,並預早作出準備。

  在銀行業及其他持份者的支持下,網絡防衛計劃的推展進度良好。三大支柱預計將於二◯一六年十二月正式展開。
 
  此外,網罪科一直致力促進有關針對金融業界網絡攻擊的情報交流。網罪科正籌備建立一個網絡攻擊情報交流平台,以應付多變的網絡威脅和漸趨複雜的網絡攻擊,以及分享有關網絡攻擊的情報。
 
  今年五月,警務處、金管局及應科院合辦為期三天的「二◯一六網絡安全峰會」。峰會嘉賓包括來自金融機構、監管機構及科技技術解決方案供應商的主管。峰會討論了本地及全球的最新網絡攻擊趨勢,及提升本港重要行業機構和關鍵基礎設施面對網絡安全事故以及應對黑客入侵事件的意識及準備。
        
  就電訊營辦商而言,根據商務及經濟發展局提供的資料,它們有責任根據牌照條款,確保其網絡有效運作,以維持及提供良好的服務。
 
(十)國際信息系統審計協會的統計數字顯示,截至二◯一六年九月,全港有2 327名註冊信息系統審計師及474名註冊信息安全經理。另外,國際信息系統安全核準聯盟的資料顯示,本地共有1 413名從業員獲得資訊系統安全師專業認證。為應付香港面對的資訊保安威脅,政府會繼續與學界和教育界(包括大專院校)合作在其資訊科技相關學科加強資訊保安課程,並聯同資訊保安專業團體向資訊科技人員推廣專業認證,以培訓更多具備資訊保安專業知識和技能的資訊科技人員,促進相關人力資源的發展。
 
(十一)政府已制訂了一套全面的《政府資訊科技保安政策及指引》,並會定期檢討,以應對政府在應用雲端及其他資訊科技發展所帶來的挑戰。
 
2016年12月14日(星期三)
香港時間16時15分
即日新聞  

附件

附件