立法会十一题:政府部门和其他公营机构的网络安全
以下是今日(十一月二十二日)在立法会会议上梁熙议员的提问和创新科技及工业局局长孙东教授的书面答覆:
问题:
据悉,随着政府推动建设智慧香港,以及更多公营机构推行电子服务,公众对它们所采取的网络安全措施日益关注。就此,政府可否告知本会:
(一)关于最近数码港及消费者委员会遭受网络攻击,政府是否知悉,导致资料外泄的主要根本原因,以及为何以往的保安评估未有发现该等根本原因;
(二)去年政府部门和其他公营机构曾遭勒索软件攻击的系统(例如网站、应用程式及主机)数目为何,以及当中有多少次攻击没有向外公布;
(三)在第(二)项所述的系统中,已纳入持续保安评估及改善计划(例如漏洞披露计划及漏洞赏金计划)的系统数目为何;及
(四)有否就须予填补的网络安全人才缺口进行估算,以应付政府部门和其他公营机构进行持续保安评估及改善工作的需求?
答覆:
主席:
政府非常关注近月涉及个别公营机构的电脑系统被黑客入侵事故。事件反映网络安全风险无处不在,社会各界必须做好防护措施,提升网络系统和数据安全。
就梁议员的提问,经谘询商务及经济发展局及保安局后,我现答覆如下:
(一)数码港二○二三年八月的网络安全事故由勒索软件引致。在怀疑电脑系统被黑客入侵后,数码港已立刻采取多项措施,包括加强网络安全及系统的防卫、委托独立网络安全专家进行调查和审视、报警处理及通报个人资料私隐专员公署(公署)。数码港亦已就事件及最新发展作出公布并通知已知可能受影响的人士,以尽最大可能提供所需的支援。数码港董事局并已成立专责小组以监督相关跟进工作。
此外,消费者委员会(消委会)的电脑系统于二○二三年九月底同样遭黑客以勒索软件恶意入侵。消委会在发现该入侵后,已随即采取跟进行动,包括加强其系统的安全措施、向警方报案、向公署备案以及委托鉴证专家进行调查。消委会亦举行了新闻发布会向公众交代事件,并已接触可能受影响的人士,提醒他们务必提高警觉以及建议应采取的措施,包括切勿开启或点击可疑连结、电邮或信息。
(二)及(三)就资讯系统及网络安全,政府已制定及持续落实多重的评估、监察、风险管理及应变制度。为确保政府资讯系统的安全,所有政府部门均须采用风险为本的原则,持续为其资讯系统识别保安风险,包括定期进行独立的资讯保安风险评估,及检视和改善现行的保安措施,以确保相关措施与时并进,有效应对最新网络风险。另一方面,针对近年网络攻击手法层出不穷,政府资讯科技总监办公室(资科办)一直密切监察网络攻击的趋势和相关保安威胁,适时向各政府部门发出保安警报及催办通知,以协助并提醒各政府部门须作出即时应变和加强防范。
此外,警务处辖下的重要基础设施保安协调中心透过公私营机构合作、风险管理、现场保安检查等,致力强化重要基建整体的保护及韧性,并透过灌输「保安设计」概念和提供专业保安建议,加强重要基础设施的自我保护、应变及复原能力。与此同时,警务处辖下的网络安全及科技罪案调查科(网罪科)的网络安全中心24小时运作,为政府部门、银行及金融、运输业、通讯及公用事业界别的重要基础设施提供网络安全保护,适时进行网络威胁的审计及分析,以防止及侦查针对重要基础设施的网络攻击。
就网络安全事件,政府的资讯保安事故应变机制要求各政府部门在发生资讯保安事故时,必须向资科办通报。去年,资科办共接获五宗有关政府资讯系统遭受勒索软件感染的资讯保安事故报告,当中没有导致任何资料外泄。上述资讯保安事故统计数字已在政府「资料一线通」网站公开。政府没有备存公营机构遭受网络攻击的统计数字。
(四)网络安全涉及不同的资讯科技范畴,政府目前没有就这方面的人才供求情况进行估算。为推动香港资讯科技保安行业的全面发展和人才培训,以及加强相关人员的网络安全防御能力,政府一直致力推动各项措施,包括:
(i)资科办定期联同资讯科技业界举办包括专题研讨会、技术工作坊、资讯保安证书课程、网络攻击事故应变训练、网络保安峰会等活动,提升资讯科技人员的资讯保安技术和知识;
(ii)资科办与业界协作,透过举办例如学校探访、「资安探访团」、「网络安全青年计划」、「香港网络保安新生代夺旗挑战赛」等不同类型的推广活动,培养青年人及学生对网络安全的认识和兴趣,以鼓励及培育更多有志投身资讯保安行业的人才;
(iii)资科办支持大专院校提供更多资讯保安课程,并联同资讯保安专业团体向资讯科技人员推广专业认证,举办研讨会、工作坊等活动,培训更多具备资讯保安专业知识和技能的资讯科技人员;
(iv)政府透过「科技人才入境计划」,吸纳海内外的科技人才来港从事包括资讯保安行业的研发工作,从而壮大香港的资讯保安人才库;及
(v)网罪科设立「网络靶场」,为警队和网络安全业界人员提供一个安全及受控的虚拟网络空间,作为模拟网络攻击及防御的训练平台,以建立团队的专业能力,加强维护香港网络安全。
- 完 -
