香港特別行政區(qū)立法會(huì)3月19日通過《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施(電腦系統(tǒng))條例》(以下簡稱《條例》)����,并預(yù)計(jì)明年1月1日實(shí)施�����。《條例》重點(diǎn)要求八大行業(yè)的企業(yè)進(jìn)行全面風(fēng)險(xiǎn)評(píng)估����,以識(shí)別高風(fēng)險(xiǎn)區(qū)域并采取相應(yīng)安全措施�。針對關(guān)鍵基礎(chǔ)設(shè)施訂立保障條例�����,八個(gè)規(guī)管界別包括:能源�、資訊科技��、銀行和金融服務(wù)�、交通、醫(yī)療保健�����、通訊及廣播等��,以維持關(guān)鍵社會(huì)和經(jīng)濟(jì)活動(dòng)���。
新例下這些機(jī)構(gòu)企業(yè)營運(yùn)者要遵守法定責(zé)任��,分為三大類:架構(gòu)��、預(yù)防��、事故報(bào)告及回應(yīng)�,當(dāng)中又包括:設(shè)立電腦系統(tǒng)安全部門、報(bào)告關(guān)鍵電腦系統(tǒng)的重大變化��、制定安全管理計(jì)劃和應(yīng)急計(jì)劃��,如至少每兩年參與一次安全演習(xí)�。條例亦訂明,若營運(yùn)者未履行法定責(zé)任���,最高可罰款500萬元及每日額外罰款5萬至10萬元��。
尋找專家團(tuán)隊(duì) 預(yù)檢系統(tǒng)安全基礎(chǔ)合規(guī)
馬凱雯指出并非所有系統(tǒng)都是“關(guān)鍵電腦系統(tǒng)”����,企業(yè)先要做的是找專家為其作全面風(fēng)險(xiǎn)評(píng)估����,并列出一些高風(fēng)險(xiǎn)項(xiàng)目,降低黑客入侵風(fēng)險(xiǎn)���。
泰雷茲應(yīng)用與數(shù)據(jù)安全業(yè)務(wù)區(qū)域銷售總監(jiān)馬凱雯(Sabrina)指出����,《條例》所涉八大行業(yè)并非所有電腦系統(tǒng)都屬“關(guān)鍵電腦系統(tǒng)”,由于條例針對企業(yè)作監(jiān)管���,因此條例生效前��,企業(yè)需要指派內(nèi)部團(tuán)隊(duì)或外判專家對系統(tǒng)全面評(píng)估��,列出高風(fēng)險(xiǎn)項(xiàng)目���,并檢查及降低被黑客入侵風(fēng)險(xiǎn),尤其需重視分散式阻斷服務(wù)(DDoS)攻擊的潛在威脅�����,以及數(shù)據(jù)安全的整體防護(hù)����,確保數(shù)據(jù)得到妥善保護(hù)���。
Sabrina提到��,目前有關(guān)部門將根據(jù)企業(yè)的設(shè)施核心功能����、系統(tǒng)中斷時(shí)可能造成的影響���,以及運(yùn)營商對系統(tǒng)的依賴程度等因素��,判斷是否將企業(yè)的系統(tǒng)指定為“關(guān)鍵電腦系統(tǒng)”�����。因此����,對已具備基礎(chǔ)保安措施的企業(yè),現(xiàn)階段只需進(jìn)一步檢視并提升現(xiàn)有系統(tǒng)安全性�����。特別是針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)韌性和數(shù)據(jù)傳輸加密(如國際標(biāo)準(zhǔn)的TLS/SSL協(xié)議)����,以抵御日益復(fù)雜的網(wǎng)絡(luò)攻擊。
她建議企業(yè)先尋找第三方具豐富國際合規(guī)經(jīng)驗(yàn)的系統(tǒng)安全專家�����,全面評(píng)估包括數(shù)據(jù)加密傳送�����、應(yīng)用程序(APP)安全、數(shù)據(jù)庫保護(hù)�,以及DDoS緩解方案等各層面的安全措施。同時(shí)�,企業(yè)應(yīng)規(guī)劃定期的安全演習(xí)與滲透測試,確保系統(tǒng)通過安全審核并符合規(guī)例要求�,尤其是在面對針對性攻擊時(shí)能維持業(yè)務(wù)連續(xù)性。
A
I及量子計(jì)算機(jī) 為數(shù)據(jù)加密帶來挑戰(zhàn)
許樹懷指出在AI及量子計(jì)算機(jī)時(shí)代���,以往數(shù)據(jù)加密傳輸可能一夕間落伍����,所以企業(yè)需要先部署可抗量子計(jì)算機(jī)解密的加密鎖匙管理作為防范策略��。
泰雷茲應(yīng)用與數(shù)據(jù)安全業(yè)務(wù)區(qū)域副總裁(大中華區(qū)及韓國)許樹懷(Wayne)指出��,有關(guān)部門有一定靈活性保障公眾���,但執(zhí)行時(shí)間或較短促,對于企業(yè)而言盡早檢驗(yàn)查看系統(tǒng)規(guī)劃��,可省卻日后合規(guī)時(shí)的額外成本��。Wayne還提醒說,不少黑客亦會(huì)趁機(jī)預(yù)先試探或入侵企業(yè)���,盜取加密通訊數(shù)據(jù)���,以便日后入侵,因此企業(yè)急需審查數(shù)據(jù)密鑰管理系統(tǒng)(Key Management System)�����、算法等���,以防出現(xiàn)漏洞����。
Wayne直言AI及量子計(jì)算機(jī)爆發(fā)式普及��,以往數(shù)據(jù)加密傳輸也有可能一夕被破解�,所以關(guān)鍵電腦系統(tǒng)企業(yè)更應(yīng)先行規(guī)劃密鑰管理作為防范策略,如部署后量子計(jì)算機(jī)加密(Post-Quantum Cryptography)風(fēng)險(xiǎn)管理工具����,及早進(jìn)行系統(tǒng)測試升級(jí),以避免量子計(jì)算機(jī)及AI的技術(shù)更加成熟時(shí)出現(xiàn)數(shù)據(jù)泄露的風(fēng)險(xiǎn)����。這不僅能增強(qiáng)客戶對企業(yè)信任��,也有助提升企業(yè)在市場上的競爭力��。
隨著全球?qū)?shù)據(jù)安全重視程度不斷提高���,企業(yè)應(yīng)主動(dòng)了解AI及量子計(jì)算機(jī)對安全的影響,以高于《條例》規(guī)范檢視系統(tǒng)����,迎接AI與量子計(jì)算機(jī)時(shí)代帶來的挑戰(zhàn)。對于高風(fēng)險(xiǎn)的八類企業(yè)而言��,更應(yīng)加快步伐制定完善安全�、數(shù)據(jù)加密的策略,確保在法例生效后能夠即時(shí)符合要求���。這不僅是確保本地以至海外合規(guī)的必要舉措,也是保障企業(yè)長遠(yuǎn)發(fā)展的關(guān)鍵投入����。
該《條例》旨在加強(qiáng)香港關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全,降低對重要服務(wù)的干擾風(fēng)險(xiǎn)���;相關(guān)技術(shù)手段有助于企業(yè)簡化合規(guī)流程并提升安全自動(dòng)化水平���,以更有效應(yīng)對條例要求����。
