網絡安全法如箭在弦 中小企資安須大升級 冀有清晰指引 免行業各師各法
2021-10-20 03:59
隨着科技發展,企業如何保障資訊安全日益受到重視,港府擬推「網絡安全法」,要求企業制定準則,防範資料外泄。縱然細則尚未出爐,網絡保安業界參考外國做法後,相信法例將會按私人機構管有的資料量,以及一旦發生網絡安全事故後對社會的影響分級,釐定網絡保安要求的嚴謹度。新法規之下,專家也期望港府制定出更完善的通報機制,讓各行業毋須再各師各法。除了大型基建及公共設施,資訊安全專家亦預計,中小企將受網絡安全法影響,需要提升現有的數據儲存系統,減低被黑客入侵及資料外泄的風險。
新一份《施政報告》在維護國家安全的段落中,提及本港須正視包括保障網絡安全在內的議題,消息人士透露,本港將參考外國做法,制定網絡安全法,一方面要求水、電、煤等重要公共設施,需要有適當措施避免遭黑客入侵,導致設施癱瘓;另一方面要求儲存大量個人資料的企業制定措施,避免資料外泄,一旦發生事故,將被罰款。
澳門法例涵蓋中小企
事實上,通過立法保障網絡安全已是全球趨勢,歐美多國、新加坡均有相關法例,內地《網絡安全法》早在2017年生效,澳門亦在2019年底實施相關法例,其法例實施模式,對本港未來的網絡安全法有一定啟示。趨勢科技香港及澳門區顧問總監李浩然指出,在澳門《網絡安全法》下,中小企也要制定一定程度的個人資料保障措施,不排除香港亦有類似的要求。
李浩然解釋,澳門為網絡安全事故的嚴重程度,分為高級、中級及一般級,如資料外泄對社會福祉及公共安全帶來特別嚴重的影響,則為高級,即使只是有限度的影響,也可歸類為一般級,換言之,如中小企管有一定數量的客戶個人資料,就有機會發生一般級的網絡安全事故,因此需要進行一系列措施,包括定期修補安全漏洞、備份資料等,否則有機會罰款。
按資料重要性及影響分級
除了事故影響程度,智慧城市聯盟資訊科技管理委員會主席龐博文亦指,外國主要按資料重要性作分類,以計算資料外泄對個人、公司、社會以至政治的影響範圍,「如一家大型工廠因網絡安全問題而需停廠,不止影響工人、公司盈利,好可能會影響到社會。」
龐博文曾為澳門企業重新計算網絡安全風險,包括重新設計系統規則及方式、將數據儲存地點重組等方案。據他了解,本港不少大型企業都會從外國購入服務,故對外國的網絡安全、數據安全等法規並非不了解,「只是香港以前太自由,無這方面的要求。」
本港目前未有明確規管數據安全的方法,安領國際主席及執行總監廖銳霆預料,新法例可為網絡安全措施提供清晰指引,例如守護、防範及管理方面,同時令事故發生時的通報機制更加有效,「以往要靠公司內部安全要求,或行業指引去做。」李浩然亦指,除了金融機構在金管局要求下,需制定資料保障方案外,其他行業屬自願參與性質,不少中小企的網絡安全措施,集中於預防伺服器不能運作等事故,忽略了客戶資料安全問題。
中小企料聘供應商維護資料
香港新興科技教育協會會長洪文正指出,現時中小企的網絡安全意識普遍薄弱,他知悉有些公司將伺服器置於辦公室,做法相當落後及危險。他認為,當法例涵蓋中小企,將促使更多人轉用雲端系統,交由相關供應商派專人維護資料。李浩然也預計,本港中小企在網絡安全法下,將迎來一系列的網絡安全更新,為業界迎來商機,「中小企未來必須聘請專人負責網絡安全,可以由現有IT人兼任,或使用坊間的雲端網絡安全服務。」
新加坡政府也於2018年制定《網絡安全法令》,要求關鍵信息基礎設施擁有人履行多項責任,包括進行網絡安全審核及風險評估、遵守行業實務守則及表現標準,以及向當局通報網絡安全及資料外泄事故,違者可被處罰款,甚至監禁。
星政府可接管出事機構IT系統
SSH亞太區副總裁何思聰指出,新加坡的相關法例列明,一旦發現機構出現嚴重漏洞,政府可派員接管該機構的網絡安全部門,直至問題得以解決為止。他認為相關的做法很「辣」,如港府效法,須確保政府內有相關知識的專才,始能預備接管不同行業的資訊科技系統。龐博文則指,由官方接管私營企業的規例,只屬最壞情況,但認為政府有權派員調查了解,以作出安全評估。
為提升網絡安全要求,廖銳霆指出,新加坡企業如擁有大規模網絡設備,一般會根據行業要求,增設資訊保護官一職,「當有事故發生,便可與官方機構對接,負責通報工作。」除了由企業自設網絡安全專隊,他認為政府亦需成立跨部門中央小組,負責制定涵蓋各行業的事故通報機制,讓市民及早知悉事故。
港府或研究參考內地做法,要求在港營運的電訊服務供應商,將取得的訊息及資料數據儲存在本地。香港互聯網供應商協會主席葉旭暉直言,由於大部分企業使用雲端儲存資料,故要將數據轉移至本港境內,技術上困難不大,大企業甚至可交由資訊科技團隊專責跟進。至於中小企方面,他預料部分公司或需花較長時間去了解清楚,服務商是否在本港儲存數據,「但相信法例有緩衝期。」
記者 郭增龍 林紫晴
原文刊《星島日報》「每日雜誌」
最新回應