香港特別行政區(qū)立法會3月19日通過《保護關鍵基礎設施(電腦系統(tǒng))條例》(以下簡稱《條例》),并預計明年1月1日實施����。《條例》重點要求八大行業(yè)的企業(yè)進行全面風險評估�����,以識別高風險區(qū)域并采取相應安全措施�。針對關鍵基礎設施訂立保障條例����,八個規(guī)管界別包括:能源����、資訊科技、銀行和金融服務����、交通、醫(yī)療保健�����、通訊及廣播等�,以維持關鍵社會和經(jīng)濟活動。
新例下這些機構企業(yè)營運者要遵守法定責任��,分為三大類:架構��、預防�����、事故報告及回應,當中又包括:設立電腦系統(tǒng)安全部門���、報告關鍵電腦系統(tǒng)的重大變化�、制定安全管理計劃和應急計劃��,如至少每兩年參與一次安全演習�。條例亦訂明,若營運者未履行法定責任�����,最高可罰款500萬元及每日額外罰款5萬至10萬元���。
尋找專家團隊 預檢系統(tǒng)安全基礎合規(guī)
馬凱雯指出并非所有系統(tǒng)都是“關鍵電腦系統(tǒng)”���,企業(yè)先要做的是找專家為其作全面風險評估,并列出一些高風險項目�����,降低黑客入侵風險�。
泰雷茲應用與數(shù)據(jù)安全業(yè)務區(qū)域銷售總監(jiān)馬凱雯(Sabrina)指出�����,《條例》所涉八大行業(yè)并非所有電腦系統(tǒng)都屬“關鍵電腦系統(tǒng)”,由于條例針對企業(yè)作監(jiān)管�����,因此條例生效前�,企業(yè)需要指派內(nèi)部團隊或外判專家對系統(tǒng)全面評估,列出高風險項目��,并檢查及降低被黑客入侵風險��,尤其需重視分散式阻斷服務(DDoS)攻擊的潛在威脅����,以及數(shù)據(jù)安全的整體防護,確保數(shù)據(jù)得到妥善保護�。
Sabrina提到,目前有關部門將根據(jù)企業(yè)的設施核心功能��、系統(tǒng)中斷時可能造成的影響�����,以及運營商對系統(tǒng)的依賴程度等因素���,判斷是否將企業(yè)的系統(tǒng)指定為“關鍵電腦系統(tǒng)”���。因此����,對已具備基礎保安措施的企業(yè),現(xiàn)階段只需進一步檢視并提升現(xiàn)有系統(tǒng)安全性。特別是針對關鍵基礎設施的網(wǎng)絡韌性和數(shù)據(jù)傳輸加密(如國際標準的TLS/SSL協(xié)議)�,以抵御日益復雜的網(wǎng)絡攻擊���。
她建議企業(yè)先尋找第三方具豐富國際合規(guī)經(jīng)驗的系統(tǒng)安全專家,全面評估包括數(shù)據(jù)加密傳送��、應用程序(APP)安全����、數(shù)據(jù)庫保護,以及DDoS緩解方案等各層面的安全措施����。同時,企業(yè)應規(guī)劃定期的安全演習與滲透測試��,確保系統(tǒng)通過安全審核并符合規(guī)例要求���,尤其是在面對針對性攻擊時能維持業(yè)務連續(xù)性�����。
A
I及量子計算機 為數(shù)據(jù)加密帶來挑戰(zhàn)
許樹懷指出在AI及量子計算機時代�,以往數(shù)據(jù)加密傳輸可能一夕間落伍��,所以企業(yè)需要先部署可抗量子計算機解密的加密鎖匙管理作為防范策略����。
泰雷茲應用與數(shù)據(jù)安全業(yè)務區(qū)域副總裁(大中華區(qū)及韓國)許樹懷(Wayne)指出,有關部門有一定靈活性保障公眾�����,但執(zhí)行時間或較短促��,對于企業(yè)而言盡早檢驗查看系統(tǒng)規(guī)劃�,可省卻日后合規(guī)時的額外成本。Wayne還提醒說����,不少黑客亦會趁機預先試探或入侵企業(yè),盜取加密通訊數(shù)據(jù)��,以便日后入侵,因此企業(yè)急需審查數(shù)據(jù)密鑰管理系統(tǒng)(Key Management System)�����、算法等�,以防出現(xiàn)漏洞。
Wayne直言AI及量子計算機爆發(fā)式普及����,以往數(shù)據(jù)加密傳輸也有可能一夕被破解,所以關鍵電腦系統(tǒng)企業(yè)更應先行規(guī)劃密鑰管理作為防范策略���,如部署后量子計算機加密(Post-Quantum Cryptography)風險管理工具�,及早進行系統(tǒng)測試升級���,以避免量子計算機及AI的技術更加成熟時出現(xiàn)數(shù)據(jù)泄露的風險��。這不僅能增強客戶對企業(yè)信任��,也有助提升企業(yè)在市場上的競爭力��。
隨著全球?qū)?shù)據(jù)安全重視程度不斷提高���,企業(yè)應主動了解AI及量子計算機對安全的影響����,以高于《條例》規(guī)范檢視系統(tǒng)�,迎接AI與量子計算機時代帶來的挑戰(zhàn)�����。對于高風險的八類企業(yè)而言���,更應加快步伐制定完善安全��、數(shù)據(jù)加密的策略�����,確保在法例生效后能夠即時符合要求�����。這不僅是確保本地以至海外合規(guī)的必要舉措���,也是保障企業(yè)長遠發(fā)展的關鍵投入。
該《條例》旨在加強香港關鍵基礎設施的網(wǎng)絡安全�,降低對重要服務的干擾風險�;相關技術手段有助于企業(yè)簡化合規(guī)流程并提升安全自動化水平�����,以更有效應對條例要求���。
