首屆網絡安全攻防演練本月舉辦 數字辦無懼部門「駐重兵」 冀以攻築防

網絡安全不能「憑感覺」，需透過真實演練驗證。數字辦將於本月稍後主辦首屆「香港網絡安全攻防演練—以攻築防2024」，9個政府部門和3間公營機構將飾演「藍隊」，在為期三日兩夜的演練期間，實兵、實網、實戰地應對來自「紅隊」的模擬真實網絡攻擊。數字辦表示，演練原則是「點到即止」，演練平台會全程記錄，確保攻擊合規，在不影響公共服務，不影響或更改系統資料和配置前提下，盡量尋找指定資訊系統安全漏洞；而部門為演練「駐重兵」屬人之常情，冀演練提升參與部門識別、應對及預防網絡攻擊的能力，每年最少舉行一次，並邀請更多部門參與。

左起：數字辦數字政策專員黃志光、數字辦副數字政策專員（數字基建）張宜偉。蕭博禧攝

9政府部門3公營機構參與「防守」

香港網絡安全攻防演練由數字辦主辦，協辦機構包括香港警務處網絡安全和科技罪案調查科、香港互聯網註冊管理有限公司及香港資訊科技學院。數字辦指，演練為期3日兩夜60小時，邀請了內地具實戰經驗的網絡安全機構作顧問，期間「紅隊」會身處位於香港資訊科技學院特定演練場地，透過虛擬演練平台向指定資訊系統發動模擬真實網絡攻擊，「藍隊」則在日常工作地點應對。至於裁判來自知名網絡安全機構，「紅隊」評分重點在於如何發現並利用系統漏洞；「藍隊」評分側重識別及應對網絡安全攻擊，以及動態監測、快速協同、應急處置等能力。演練會邀請政府部門及公營機構旁觀，約50個部門有興趣。

中央協調中心指示攻擊真偽

今次有12隊參與「藍隊」演練，包括9個政府部門和3間公營機構。數字辦數字政策專員黃志光表示，為免吸引真正黑客渾水摸魚，擾亂演練部署，按慣例不公開參與部門及系統；又指中央協調中心會指示「藍隊」攻擊是來自「紅隊」，抑或屬真正的網絡攻擊，後者會按正常應變措施處理。他稱，下月會總結演練結果並通報參與部門，相關經驗也會在資訊保安論壇分享，「當然在不公布參與部門系統前提下，我們會分享一些成功攻擊情況，大致上問題在哪，又或者成功預防時，他們做得好的地方。」

對於或有部門為應付演練「駐重兵」，黃認為演練仍有寶貴價值，「令他們知道就算做那麼多，若系統配置不足，可能仍被拿到分，往後要加強。因為不可能長時間有那麼多人員，日常工作人員的警覺性要提高」。他強調，參與部門可透過實戰獲取經驗，認知系統受攻擊時牽涉的人員及設施，在未來探討應用新技術，更迅速地偵測及應變。

黃亦說，由數字辦管理的政府政務雲、中央互聯網服務及政府網絡接觸數以百計政府系統，亦有間接參與演練，「若黑客想攻擊（政府）某個系統，其實要過幾關，先要到互聯網網絡入口，入到去，亦要突破一些網絡安全設施。」

數字辦副數字政策專員（數字基建）張宜偉表示，為免「藍隊」太大壓力，參考内地經驗不設合格線，但評分會有高低，冀參與部門總結後自我改善，「例如響應時間有問題，找到其他同事幫忙時間較長，這不單是單一系統，其他系統也可能面對這種情況」。

圖為數字政策辦公室。

不定期突擊巡查高風險系統

本港網絡安全風險和影響與日俱增。數字辦表示，香港網絡安全事故協調中心過去一年共處理10,583宗保安事故，較上年度同期上升約39％。黃志光表示，以往有要求部門定期進行網絡安全風險評估，但留意到個別系統有小問題，故數字辦明年會在預先取得部門同意下，主動並不定期突擊巡查高風險系統，進行掃描及入侵偵測，發現漏洞後再通知部門維修。他指，初步估算這些系統逾100個，分布在80多個政府部門，冀一年內全部完成掃描。

新一份《施政報告》附篇指，創科局明年起，每年會選定8個政府電子系統作深入合規審計。黃志光透露，相關工作由數字辦主導，「會有一些顧問直接到系統，看網絡安全準備功夫，預計措施是否已經做了，尤其是通報機制是否有效。」

張宜偉補充，與黑客進行網絡安全對抗，不能單靠技術。他指，今年會加強各部門網絡安全系統的監管角色，由高級政府人員擔任網絡安全通報主管工作，亦會加強部門技術配套，並加強培訓技術人員對抗網絡攻擊的警覺性及能力。

記者 蕭博禧