環球范圍內針對關鍵根基設備的網絡進攻日益頻繁,陰礙越來越嚴重,香港推動網絡安全生態圈及產業發展確有急迫性。
現今世界,關鍵根基設備(Critical Infrastructure)對于保持社會正常行運與國家安全至關主要。香港作為國際創科中央、環球金融中央、世界領先聰明城市,擁有海量高價值數據。也因此,香港為保障關鍵根基設備立法刻不容緩。
特區政府近日公佈發起規定《保障關鍵根基設備(電腦系統)老虎機下載地址規則草案》。過去數年,也有不少國家,如美國、德國、澳洲、新加坡等通過立法保衛關鍵根基設備和電腦數據。國家也于2024年9月實施《關鍵信息根基設備安全保衛規則》。
關鍵根基設備是指,對經濟、公眾康健和國家安全至關主要的系統和網絡。香港的規則草案包含能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健,以及通信和廣播等界別。
云服務需求料大增
跟著專業先進,根基設備越來越依賴互聯網和電腦系統,這也增加其遭受網絡進攻的風險。環球范圍內針對關鍵根基設備的網絡進攻日益頻繁,陰礙越來越嚴重。2024年,澳洲醫療保險公司和電信公司差別遭到黑客進攻,導致大批個人資料洩露。2024年,美國燃油運輸管道遭網絡進攻,造成供給中斷,并角子老虎機獎金計算觸發全國驚愕性搶購。上述事件凸顯了環球網絡安全的主要性,叮囑各國政府和企業必要連續不斷加強防護措施,提拔網絡安全意識,以應對日益復雜和多樣化的網絡恐嚇。
鑒于難以勝利檢控進攻者,不少國家老虎機體驗金教學的立法針對關鍵根基設備的營運者,若未能妥善處理預防和維護程序,將對其進行處罰。香港的立法發起也不破例,重要內容包含有三個方面:
架構方面,關鍵根基設備營運者(營運者)須在香港設有地址和就事處并教導改變,通根基設備擁有權和營運權改變,設立技術的電腦系統安全控制部分(自設或外判),由專責主管監管并跟進專責辦公室指示。
預防方面,營運者須教導關鍵電腦系統的重大變化,規定并提交電腦系統安全控制策劃,每年進行并教導保鑣風險評估,每兩年進行并教導獨立保鑣審計,確保第三方系統符正當定要求,不陰礙保鑣。
事故通及應對方面,營運者需每兩年介入專責辦公室舉行的電腦系統安全演習,規定并提交應急策劃,并在指定時間內教導關鍵電腦系統保鑣事故:嚴重事故在2小時內,其他事故在24小時內教導。
特區政府將設立專責辦公室,由保鑣局及特首委任專員領導,專責監視規則吃角子老虎機遊戲攻略的實施,不合規者將面對50萬至500萬元的罰款。
固然不少大型機構已經知足或超越這些要求,但中小型機構可能在網絡安全控制才幹和資本上有所不足,需要進行專業升級,增強員工的網絡安全意識和技巧,規定更嚴格的安全措施。筆者亦預測,根基設備規則將對云服務的採用提出更高要求,公有云未必合乎要求;意料營運者將轉向更安全的私有云或融合云服務,以符合新的安全尺度,但同時也為業界帶來商機。
根基設備規則并不針對一般市民,而是規管營運者,確保他們采取適當措施保衛電腦系統安全,從而減少網絡進攻風險。固然規則適用于機構,但若違規行為涉及觸犯刑事法例,涉事人員可能需負上個人刑事責任。
運營數據在地儲存
在筆者看來,規則草案仍有不少需要厘清的場所,但願特區政府與各界集思廣益。例如,是否需要制定營運者的擔當人必要是香港公民,以確保他們充分懂得并遵守本地法律和安全要求;同時,加強對關鍵根基設備的本地管理,減少外部攙和和潛在的安全風險。
又如,設立專責的安全控制部分是可行的,但需要明確部分職責和資本部署。專責部分需要具備高效控制才幹和專業技術知識,以確保網絡安全措施的有效實施。特區政府應設立透徹的監視機制和問責制度,確保所有行動和決策都在合乎邏輯范圍內,知足市民期待。部分擔當人亦需要對最新的網絡安全恐嚇和專業有深刻懂得,能夠規定和實施有效的安全謀略。
再如,營運者需確保外判的第三方服務提供者也要符合相關安全要求,包含有安全審查和控制。對于境外服務提供商,特區政府應考慮如何執法,確保其符合香港網絡安全尺度,包含有數據存儲、拜訪管理和事件教導等方面的要求。對于國內服務提供者,特區政府可通過與國內有關部分調和,確保服務提供商在香港的營運符合安全尺度,保障用戶數據安全和隱私。
不過,像WhatsApp此類市民日常採用的境外通信平臺,特區政府須考慮是否要求其在香港設立本地數據中央,遵守香港的數據保衛律例,并規定想法要求境外通信平臺定期向香港當局教導安全狀況和事件,確保其服務的安全性和不亂性。
規則會否對涉及關鍵根基設備的收購合并設立更嚴格的審查程序,確保鑣全尺度不會因業務改變而減低?此舉可能會陰礙企業收購合并的速度和成本,但有助于保衛關鍵根基設備的安全。此外,營運者需實施更嚴格的數據保衛措施,確保敏感數據在處理和存儲過程中的安全性。
我們也可以從營運者的角度,來看待營運者安適規則的過程及面對的挑戰。電力公司需要確保發電廠和配電網絡的網絡安全,以符合新規要求。他們有可能要投入大批資本進行專業升級和安全措施的實施,并進行風險評估和安全演習,確保能源供給的不亂性和安全性。電力公司還需要訓練員工,提高他們的網絡安全意識和應對才幹。
金融產品買賣市場需要提拔其數據中央和買賣系統的安全防護,確保買賣系統的不亂運行和數據保衛。營運者需加密數據、限制拜訪權限、定期安全審查,并提拔員工的網絡安全技巧,規定詳細的應急策劃以應對安全事件。
醫院系統需加強醫療紀實系統的保衛,以防範病人數據被盜取。營運者需采取進步專業手段保衛數據,并確保醫療工作人員了解并遵守新安全規范。這包含有提拔系統安全性、進行風險評估及規定應急策劃,確保知足規則要求。
應對網絡風險挑戰
特區政府推動關鍵根基設備立法,對保持社會正常行運和保障國家安全至關主要。加強網絡安全措施、提拔風險控制才幹和改進事故應對流程,將提高香港整體的網絡安全程度。各界持份者應積極介入立法過程,同時為安適規則做好預備。
特區政府宜聆聽各界聲音,監察連續不斷變化的網絡安全形勢,在規則中留有可調換的空間,使其具備敏捷性老虎機下載注意事項和活力。對于來自海外和國內的服務提供商,特區政府應規定明確要求,確保其在香港的營運符合本地網絡安全尺度,保衛公共長處和國家安全。
此外,香港應加速更新《個人資料(私隱)規則》,并規定與《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》相匹配的相關法例。透過這種全面保衛措施,香港將能加倍有效應對未來網絡安全挑戰,確保關鍵根基設備的安全性和不亂性。
《保障關鍵根基設備(電腦系統)規則草案》要旨
●保障保持香港社會必需服務攸關或主要的社會和經濟活動的關鍵根基設備。\&
●規管關鍵根基設備營運者,即大機構,不陰礙中小企及一般市民。\&
●營運者需蒙受保衛其關鍵電腦系統的責任,不涉及系統內個人資料和業務內容。\&
●絕不陰礙市民民眾採用網絡及電腦的自由。\&
