网络安全│ 黑客进行诈骗、勒索及身份盗用 专家倡立法加强保护个人及敏感资料

2023-08-20 09:30

香港距离另一层次的智慧城生活有多远?智慧城市的建设又会带来甚么网络安全威胁?香港警务处与12位来自不同界别的专家及领袖成立的科技罪案警政顾问小组(「顾问小组」)于6月下旬举行了第三次会议,探讨如何就智慧城市相关的网络安全挑战做好准备。

智慧城市何以「智慧」?

智慧城市的「智慧」在于透过资讯及通讯科技(ICT)(例如物联网、人工智能、大数据、5G流动网络、云计算及区块链技术等)连接各种系统及服务,收集大量数据进行分析,以寻找合适方案以提升城市营运效率及即时回应市民的需要,从而改善生活质素。

2020年,政府公布《香港智慧城市蓝图2.0》,提出130项措施,继续优化及扩大现行城市管理工作及服务。

相关新闻:诈骗来电│ 骗徒数百元收购电话卡   专家倡电讯商优化电话卡实名制

3大网络安全挑战

顾问小组认为智慧城市把不同公共服务和基础设施整合,当中涉及收集、传输、处理、储存海量数据,这些智慧基建设施的资讯科技(IT)和操作技术(OT)系统往往会吸引来自全球各地的黑客和不法分子觑觎,发动网络攻击,包括盗取敏感资料、恶意破坏,严重甚至影响国家安全。顾问小组总结了以下三大网络安全威胁:

1.泄露个人资料

智慧城市的智能系统可透过物联网装置、手机应用程式等收集数据,例如市民出行习惯、消费记录、身体情况、医疗记录等敏感资料,储存在电脑系统进行分析并有机会透过共享数据及应用程序接口(API)与其他系统交换数据。

有部分收集到的资料会经过匿名化处理,但有部分仍属敏感资料。敏感资料一旦被黑客盗取、人为泄漏,或因系统漏洞、错误设置等导致意外流出,便有可能被不法分子用作非法用途,包括诈骗、勒索、身份盗用、盗窃财产。

试想像一下,今天黑客入侵一般市民家中的IP镜头窥视用户一举一动,并收集人脸和声纹,透过深伪技术进行换脸换声视频诈骗已非天荒夜谭,黑客未来还可如何进一步利用公众的敏感资料? 

警方与12位来自不同界别的专家及领袖成立科技罪案警政顾问小组,探讨网络安全挑战。
警方与12位来自不同界别的专家及领袖成立科技罪案警政顾问小组,探讨网络安全挑战。

2.瘫痪基建设施

智慧城市把基建设施与资讯系统深度融合,透过互联网连成一体。当原本独立运行的设备连接上网,便有机会被黑客入侵。黑客轻则操控或干扰智能公共系统(例如交通管理系统),导致交通混乱,影响市民出行;重则攻击重要基础设施(例如发电厂、水务系统、数码货币系统等),直接瘫痪城市。

3.威胁国家安全

除了传统的网络间谍活动,近年相继涌现各种国家级网络攻击,例如透过恶意软件入侵和分散式阻断服务 (DDoS) 攻击,威胁各国政府的运作。香港在2014年非法占中和2019年黑暴中,亦曾经有黑客组织号召攻击香港政府的资讯系统,企图瘫痪政府运作。

维护智慧城市安全  立法及规管措施须加快推动

顾问小组认为智慧城市走向万物联网(Internet of Everything)属大势所趋。但面对日新月异的网络威胁,本港需要订立多方位网络安全策略以面对转型为智慧城市的挑战,当中完善网络安全法制及相关电脑罪行、研究数据共享机制等实属迫在眉睫。

制定网络安全法 保护基础设施

本港如要建设智慧城市,首先需要尽快制定网络安全法,厘订关键设施营运者(如交通、能源、通讯、金融行业等)的网络安全责任,例如规定营运者采取保安措施以侦测、堵截和抵御各种网络安全威胁、提升企业网络安全管治水平作为发牌条件等。试想像今年初及去年有电力公司因起火事故而导致多区大停电、交通灯失灵等,假如黑客入侵电力系统影响供电,足以瘫痪本港经济活动。

对于涉及敏感资料收集、储存、处理的系统,政府可考虑订立类似内地《网络安全等级保护》制度,按照系统若果受破坏,对公众、社会秩序、国家安全可能构成的损害程度,制定不同等级的保护要求。

加强保护个人及敏感资料

顾问小组亦建议立法对违规或泄露敏感资料的企业采取强而有力的罚则。私隐专员去年就审视有企业互相使用旗下品牌客户的个人资料,以及数据库遭勒索软件攻击事件时亦坦言,现时《个人资料(私隐)条例》(「私隐条例」)的相关罚则阻吓力不足,例如就违反专员发出的执行通知,最高只可被判罚款五万元港币及监禁两年。

相比违反欧盟《通用资料保护规则》,违者可判高达全球年营业额4%的罚款、违反内地《个人信息保护法》规定者最高可被罚款人民币五千万元,或上一年度营业额的5%,并可被责令停业整顿、吊销相关业务许可或营业执照等,私隐条例的罚则或有检视的空间。

订立网络罪行法例

本港现时针对网络罪行的法例主要是实施多年的《刑事罪行条例》的「有犯罪或不诚实意图而取用电脑」、「摧毁或损坏财产」及《电讯条例》的「藉电讯而在未获授权下取用电脑资料」。

然而,有关法例并不能针对打击新型的网络犯罪活动,例如管有网络攻击工具或恶意软件等。虽然法律改革委员会电脑网络罪行小组委员会正就「依赖电脑网络的罪行及司法管辖权事宜」制定新法例,覆盖(一)依赖电脑网络的罪行及司法管辖权事宜、(二)借助电脑网络的罪行及(三)处理证据事宜及执法(程序)事宜,整个立法程序仍需时甚长。

顾问小组建议政府加快立法,有效规管网上平台的犯罪活动,例如规定平台必须保存数据不少于指定期限,赋予执法机构权利要求网络服务供应商提交记录、移除非法内容等,以便执法机构进行搜证。

优化数据共享平台

完善数据共享机制是打通智慧城市「任督二脉」的关键,当中政府需要主导订立法规、标准化数据制式和建构数据共享生态,企业和民间组织方能从中制造价值。

以新加坡为例子,当地的「可信任资料框架」设有沙盒机制让企业在有条件下豁免法规限制使用及分享资料,政府亦有详细指引列明企业在甚么情况下能共享数据、如何制定数据格式便利使用、与其他企业订立数据共享协议时的考虑等。

此外,当地政府亦为整个城市在虚拟空间建立「数码分身」,让公众参与城市规划和管理。顾问小组建议政府借镜以上措施,为共享数据制造便利和合规的空间。
 

______________________________________________________

《星岛申诉王》为民请命抱不平、追踪城中热话,亦会搜罗坊间温情小故事。你申诉,我跟进,WhatsApp搵91999933,《星岛申诉王》随时候命!

立即报料:https://bit.ly/3IMunqd

《星岛头条》APP经已推出最新版本,请立即更新,浏览更精彩内容:https://bit.ly/3yLrgYZ

關鍵字

最新回应

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad