网络安全法如箭在弦 中小企资安须大升级 冀有清晰指引 免行业各师各法
2021-10-20 03:59
随着科技发展,企业如何保障资讯安全日益受到重视,港府拟推「网络安全法」,要求企业制定准则,防范资料外泄。纵然细则尚未出炉,网络保安业界参考外国做法后,相信法例将会按私人机构管有的资料量,以及一旦发生网络安全事故后对社会的影响分级,厘定网络保安要求的严谨度。新法规之下,专家也期望港府制定出更完善的通报机制,让各行业毋须再各师各法。除了大型基建及公共设施,资讯安全专家亦预计,中小企将受网络安全法影响,需要提升现有的数据储存系统,减低被黑客入侵及资料外泄的风险。
新一份《施政报告》在维护国家安全的段落中,提及本港须正视包括保障网络安全在内的议题,消息人士透露,本港将参考外国做法,制定网络安全法,一方面要求水、电、煤等重要公共设施,需要有适当措施避免遭黑客入侵,导致设施瘫痪;另一方面要求储存大量个人资料的企业制定措施,避免资料外泄,一旦发生事故,将被罚款。
澳门法例涵盖中小企
事实上,通过立法保障网络安全已是全球趋势,欧美多国、新加坡均有相关法例,内地《网络安全法》早在2017年生效,澳门亦在2019年底实施相关法例,其法例实施模式,对本港未来的网络安全法有一定启示。趋势科技香港及澳门区顾问总监李浩然指出,在澳门《网络安全法》下,中小企也要制定一定程度的个人资料保障措施,不排除香港亦有类似的要求。
李浩然解释,澳门为网络安全事故的严重程度,分为高级、中级及一般级,如资料外泄对社会福祉及公共安全带来特别严重的影响,则为高级,即使只是有限度的影响,也可归类为一般级,换言之,如中小企管有一定数量的客户个人资料,就有机会发生一般级的网络安全事故,因此需要进行一系列措施,包括定期修补安全漏洞、备份资料等,否则有机会罚款。
按资料重要性及影响分级
除了事故影响程度,智慧城市联盟资讯科技管理委员会主席庞博文亦指,外国主要按资料重要性作分类,以计算资料外泄对个人、公司、社会以至政治的影响范围,「如一家大型工厂因网络安全问题而需停厂,不止影响工人、公司盈利,好可能会影响到社会。」
庞博文曾为澳门企业重新计算网络安全风险,包括重新设计系统规则及方式、将数据储存地点重组等方案。据他了解,本港不少大型企业都会从外国购入服务,故对外国的网络安全、数据安全等法规并非不了解,「只是香港以前太自由,无这方面的要求。」
本港目前未有明确规管数据安全的方法,安领国际主席兼集团行政总裁廖锐霆预料,新法例可为网络安全措施提供清晰指引,例如守护、防范及管理方面,同时令事故发生时的通报机制更加有效,「以往要靠公司内部安全要求,或行业指引去做。」李浩然亦指,除了金融机构在金管局要求下,需制定资料保障方案外,其他行业属自愿参与性质,不少中小企的网络安全措施,集中于预防伺服器不能运作等事故,忽略了客户资料安全问题。
中小企料聘供应商维护资料
香港新兴科技教育协会会长洪文正指出,现时中小企的网络安全意识普遍薄弱,他知悉有些公司将伺服器置于办公室,做法相当落后及危险。他认为,当法例涵盖中小企,将促使更多人转用云端系统,交由相关供应商派专人维护资料。李浩然也预计,本港中小企在网络安全法下,将迎来一系列的网络安全更新,为业界迎来商机,「中小企未来必须聘请专人负责网络安全,可以由现有IT人兼任,或使用坊间的云端网络安全服务。」
新加坡政府也于2018年制定《网络安全法令》,要求关键信息基础设施拥有人履行多项责任,包括进行网络安全审核及风险评估、遵守行业实务守则及表现标准,以及向当局通报网络安全及资料外泄事故,违者可被处罚款,甚至监禁。
星政府可接管出事机构IT系统
SSH亚太区副总裁何思聪指出,新加坡的相关法例列明,一旦发现机构出现严重漏洞,政府可派员接管该机构的网络安全部门,直至问题得以解决为止。他认为相关的做法很「辣」,如港府效法,须确保政府内有相关知识的专才,始能预备接管不同行业的资讯科技系统。庞博文则指,由官方接管私营企业的规例,只属最坏情况,但认为政府有权派员调查了解,以作出安全评估。
为提升网络安全要求,廖锐霆指出,新加坡企业如拥有大规模网络设备,一般会根据行业要求,增设资讯保护官一职,「当有事故发生,便可与官方机构对接,负责通报工作。」除了由企业自设网络安全专队,他认为政府亦需成立跨部门中央小组,负责制定涵盖各行业的事故通报机制,让市民及早知悉事故。
港府或研究参考内地做法,要求在港营运的电讯服务供应商,将取得的讯息及资料数据储存在本地。香港互联网供应商协会主席叶旭晖直言,由于大部分企业使用云端储存资料,故要将数据转移至本港境内,技术上困难不大,大企业甚至可交由资讯科技团队专责跟进。至于中小企方面,他预料部分公司或需花较长时间去了解清楚,服务商是否在本港储存数据,「但相信法例有缓冲期。」
记者 郭增龙 林紫晴
原文刊《星岛日报》「每日杂志」
最新回应