专访│保护关键基础设施条例获通过 保安局:确保机构具抵御韧性
2025-03-21 08:00
《保护关键基础设施(电脑系统)条例草案》本周三(19日)在立法会获得三读通过,并计划于明年1月正式生效。保安局表示,有关《条例》并非「兵捉贼」的条例,而是列明规管要求,关键基础设施营运者保持伙伴关系,目的是确保本港关键基础设施的电脑系统具有韧性,能抵御黑客进行的网络攻击,并能尽快恢复正常运作。
全球不同地区关键基础设施电脑系统受到网络攻击
保安局常任秘书长李百全接受《星岛》访问时表示,政府订立有关条例,是因应全球不同地区的关键基础设施电脑系统近年受到网络攻击的问题,若本港关键基础设施的电脑系统受到网络攻击,随时会瘫痪相关服务,影响市民的日常生活及经济活动,对整个社会带来巨大影响。
李百全强调,政府只会针对关键基础设施的电脑系统的安全问题,绝对不会针对个人资料或商业机密,而保安局局长邓炳强本周三在立法会,以及多次在不同场合及透过政策文件都反覆强调,政府的立法目的十分清晰,就是针对关键基础设施,主要是本港的大型企业及机构,故不会影响中小企及一般市民,相反,只会令市民日常使用的服务更加稳定。
李百全续谓,《条例》不会令大型企业及机构于维护其提供核心务的电脑系统安全大幅增加合规成本,「之前亦同佢地沟通过,其实为确保服务提供正常,机构自己最紧张佢地电脑系统嘅安全,因一旦系统遭受网络攻击被扰乱或破坏,佢哋嘅核心服务会受到影响」,因此它们本身已经采取相当措施确保自己嘅电脑系统安全,政府现在只是将一些务实的要求透过《条例》定出来,确保不同设施的营运者遵守,提升本港整体关键基础设施电脑系统安全,同时确保其韧性,一旦遇到攻击,亦有能力尽快将系统恢复正常运作。
政府当局与营运者是伙伴关系
李百全重申,在这《条例》下,政府当局与营运者是伙伴关系,「呢条唔系兵捉贼嘅条例,营运者是政府当局嘅伙伴,共同维持电脑系统安全」,立法目的不在惩罚营运者,但是为了确保条例有效实施及执行,《条例》亦订明相关的罪行及适当的罚则,专责办公室亦有调查权力,目的是希望协助营运者提升其电脑系统安全,「我们认为大部分营运者都能遵守要求,但如果真系有营运者跟不上法例上嘅要求,罚则只会系针对机构罚款,而不是个人的刑责。」
目的是希望有关建议做得到、帮得到
李百全表示,保安局在计划订立有关法例前,早于2023年已开始与业界沟通,并将收集的意见适当地纳入立法框架,至2024年展开公众谘询,期间亦与业界进行了多次沟通和简介会议,目的是希望有关建议最后是他们做得到、帮得到,强化得到本港整体关键基础设施的电脑系统安全,「呢个系伙伴关系,唔系法例通过咗就完,而系现在进行式,会同业界持续沟通」,当日后成立专责办公室后,便会制订实务守则,协助营运者达致有关要求。
对于有些营运者的电脑系统保安工作外判予第三方服务提供者,李百全表示,已从沟通过程充分理解业界的运作,并强调工作可以外判,但责任不能外判,故《条例》要求营运者必须设立电脑安全部门,虽然这部门的工作可以外判,但是有关主管必须由该营运者聘用,这个安排一方面可照顾业界运作的需要,另一方面亦可确保责任要到位。
已参考不同地方的法例要求
李百全又指,于订立法例时,已参考不同地方的法例要求,包括内地、澳门、新加坡,美国、澳洲、加拿大及英国,「最后放落法例嘅要求,全部都是适合香港嘅实际情况,这些要求,在其他司法管辖区亦十分普遍」。
罚款必须具阻吓力
就《条例》的罚则而言,最高罚款为500万港元,李百全表示,「罚款必须具阻吓力。其实欧盟的最高罚款为8000万港元,英国的最高罚款更超过1亿港元。我哋唔系要施加好重嘅刑罚,而是要确保有足够的阻吓力。
世界各地过去发生的严重电脑保安事故:
2021年/美国燃油运输管道Colonial Pipeline (殖民管道) 的管理系统受袭 ,令系统不能正常计算费用。该公司决定停止输油,令多州进入紧急状态。
2024年1月/瑞典数据中心受勒索软件攻击,影响瑞典大部分大学和170多家政府机构。攻击事件导致这些组织的员工无法提交事假申请或报销申请,以及令薪酬管理系统暂停运作。
2024年2月/UnitedHealth (美国医疗保险公司)遭受黑客集团AlphV(又名BlackCat)勒索软件攻击,入侵其公司系统,并可能盗取高达全美三分之一国民的个人资料及医疗资讯。
记者 郑华坤
最新回应