立法會十一題：政府部門和其他公營機構的網絡安全

以下是今日（十一月二十二日）在立法會會議上梁熙議員的提問和創新科技及工業局局長孫東教授的書面答覆：

問題：

據悉，隨着政府推動建設智慧香港，以及更多公營機構推行電子服務，公眾對它們所採取的網絡安全措施日益關注。就此，政府可否告知本會：

（一）關於最近數碼港及消費者委員會遭受網絡攻擊，政府是否知悉，導致資料外泄的主要根本原因，以及為何以往的保安評估未有發現該等根本原因；

（二）去年政府部門和其他公營機構曾遭勒索軟件攻擊的系統（例如網站、應用程式及主機）數目為何，以及當中有多少次攻擊沒有向外公布；

（三）在第（二）項所述的系統中，已納入持續保安評估及改善計劃（例如漏洞披露計劃及漏洞賞金計劃）的系統數目為何；及

（四）有否就須予填補的網絡安全人才缺口進行估算，以應付政府部門和其他公營機構進行持續保安評估及改善工作的需求？

答覆：

主席：

政府非常關注近月涉及個別公營機構的電腦系統被黑客入侵事故。事件反映網絡安全風險無處不在，社會各界必須做好防護措施，提升網絡系統和數據安全。

就梁議員的提問，經諮詢商務及經濟發展局及保安局後，我現答覆如下：

（一）數碼港二○二三年八月的網絡安全事故由勒索軟件引致。在懷疑電腦系統被黑客入侵後，數碼港已立刻採取多項措施，包括加強網絡安全及系統的防衛、委托獨立網絡安全專家進行調查和審視、報警處理及通報個人資料私隱專員公署（公署）。數碼港亦已就事件及最新發展作出公布並通知已知可能受影響的人士，以盡最大可能提供所需的支援。數碼港董事局並已成立專責小組以監督相關跟進工作。

此外，消費者委員會（消委會）的電腦系統於二○二三年九月底同樣遭黑客以勒索軟件惡意入侵。消委會在發現該入侵後，已隨即採取跟進行動，包括加強其系統的安全措施、向警方報案、向公署備案以及委託鑑證專家進行調查。消委會亦舉行了新聞發布會向公眾交代事件，並已接觸可能受影響的人士，提醒他們務必提高警覺以及建議應採取的措施，包括切勿開啓或點擊可疑連結、電郵或信息。

（二）及（三）就資訊系統及網絡安全，政府已制定及持續落實多重的評估、監察、風險管理及應變制度。為確保政府資訊系統的安全，所有政府部門均須採用風險為本的原則，持續為其資訊系統識別保安風險，包括定期進行獨立的資訊保安風險評估，及檢視和改善現行的保安措施，以確保相關措施與時並進，有效應對最新網絡風險。另一方面，針對近年網絡攻擊手法層出不窮，政府資訊科技總監辦公室（資科辦）一直密切監察網絡攻擊的趨勢和相關保安威脅，適時向各政府部門發出保安警報及催辦通知，以協助並提醒各政府部門須作出即時應變和加強防範。

此外，警務處轄下的重要基礎設施保安協調中心透過公私營機構合作、風險管理、現場保安檢查等，致力強化重要基建整體的保護及韌性，並透過灌輸「保安設計」概念和提供專業保安建議，加強重要基礎設施的自我保護、應變及復原能力。與此同時，警務處轄下的網絡安全及科技罪案調查科（網罪科）的網絡安全中心24小時運作，為政府部門、銀行及金融、運輸業、通訊及公用事業界別的重要基礎設施提供網絡安全保護，適時進行網絡威脅的審計及分析，以防止及偵查針對重要基礎設施的網絡攻擊。

就網絡安全事件，政府的資訊保安事故應變機制要求各政府部門在發生資訊保安事故時，必須向資科辦通報。去年，資科辦共接獲五宗有關政府資訊系統遭受勒索軟件感染的資訊保安事故報告，當中沒有導致任何資料外泄。上述資訊保安事故統計數字已在政府「資料一線通」網站公開。政府沒有備存公營機構遭受網絡攻擊的統計數字。

（四）網絡安全涉及不同的資訊科技範疇，政府目前沒有就這方面的人才供求情況進行估算。為推動香港資訊科技保安行業的全面發展和人才培訓，以及加強相關人員的網絡安全防禦能力，政府一直致力推動各項措施，包括：

（i）資科辦定期聯同資訊科技業界舉辦包括專題研討會、技術工作坊、資訊保安證書課程、網絡攻擊事故應變訓練、網絡保安峰會等活動，提升資訊科技人員的資訊保安技術和知識；

（ii）資科辦與業界協作，透過舉辦例如學校探訪、「資安探訪團」、「網絡安全青年計劃」、「香港網絡保安新生代奪旗挑戰賽」等不同類型的推廣活動，培養青年人及學生對網絡安全的認識和興趣，以鼓勵及培育更多有志投身資訊保安行業的人才；

（iii）資科辦支持大專院校提供更多資訊保安課程，並聯同資訊保安專業團體向資訊科技人員推廣專業認證，舉辦研討會、工作坊等活動，培訓更多具備資訊保安專業知識和技能的資訊科技人員；

（iv）政府透過「科技人才入境計劃」，吸納海內外的科技人才來港從事包括資訊保安行業的研發工作，從而壯大香港的資訊保安人才庫；及

（v）網罪科設立「網絡靶場」，為警隊和網絡安全業界人員提供一個安全及受控的虛擬網絡空間，作為模擬網絡攻擊及防禦的訓練平台，以建立團隊的專業能力，加強維護香港網絡安全。

- 完 -