政府辦首屆網安攻防演練

網絡安全不能「憑感覺」，需透過真實演練驗證。數字辦將於本月稍後主辦首屆「香港網絡安全攻防演練—以攻築防2024」，9個政府部門和3間公營機構將飾演「藍隊」，在為期三日兩夜的演練期間，實兵、實網、實戰地應對來自「紅隊」的模擬網絡攻擊。數字辦表示，演練原則是「點到即止」，演練平台會全程記錄，確保攻擊合規，在不影響公共服務，不影響或更改系統資料和配置前提下，盡量尋找指定資訊系統安全漏洞；而部門為演練「駐重兵」屬人之常情，冀演練提升參與部門識別、應對及預防網絡攻擊的能力，每年最少舉行一次，並邀請更多部門參與。

香港網絡安全攻防演練由數字辦主辦，協辦機構包括香港警務處網絡安全和科技罪案調查科、香港互聯網註冊鼓勵有限公司及香港資訊科技學院。數字辦指，演練為期3日兩夜60小時，邀請了內地具實戰經驗的網絡安全機構作顧問，期間「紅隊」會身處位於香港資訊科技學院特定演練場地，透過虛擬演練平台向指定資訊系統發動模擬網絡攻擊，「藍隊」則在日常工作地點應對。至於裁判來自知名網絡安全機構，「紅隊」評分重點在於如何發現並利用系統漏洞；「藍隊」評分側重識別及應對網絡安全攻擊，以及動態監測、快速協同、應急處置等能力。演練會邀請政府部門及公營機構旁觀，約50個部門有興趣。
數字辦：點到即止不影響公共服務

今次有12隊參與「藍隊」演練，包括9個政府部門和3間公營機構。數字辦數字政策專員黃志光表示，為免吸引真正黑客渾水摸魚，擾亂演練部署，按慣例不公開參與部門及系統；又指中央協調中心會指示「藍隊」攻擊是來自「紅隊」，抑或屬真正的網絡攻擊，後者會按正常應變措施處理。他稱，下月會總結演練結果並通報參與部門，相關經驗也會在資訊保安論壇分享，「當然在不公布參與部門系統前提下，我們會分享一些成功攻擊情況，大致上問題在哪，又或者成功預防時，他們做得好的地方」。

對於或有部門為應付演練「駐重兵」，黃認為演練仍有寶貴價值，「令他們知道就算做那麼多，若系統配置不足，可能仍被拿到分，往後要加強。因為不可能長時間有那麼多人員，日常工作人員的警覺性要提高」。他強調，參與部門可透過實戰獲取經驗，認知系統受攻擊時牽涉的人員及設施，在未來探討應用新技術，更迅速地偵測及應變。

黃亦說，由數字辦管理的政府政務雲、中央互聯網服務及政府網絡接觸數以百計政府系統，亦有間接參與演練，「若黑客想攻擊（政府）某個系統，其實要過幾關，先要到互聯網網絡入口，入到去，亦要突破一些網絡安全設施」。