香港特別行政區立法會(huì )3月19日通過(guò)《保護關(guān)鍵基礎設施(電腦系統)條例》(以下簡(jiǎn)稱(chēng)《條例》)����,并預計明年1月1日實(shí)施�?��!稐l例》重點(diǎn)要求八大行業(yè)的企業(yè)進(jìn)行全面風(fēng)險評估����,以識別高風(fēng)險區域并采取相應安全措施�����。針對關(guān)鍵基礎設施訂立保障條例��,八個(gè)規管界別包括:能源����、資訊科技�����、銀行和金融服務(wù)����、交通�、醫療保健��、通訊及廣播等���,以維持關(guān)鍵社會(huì )和經(jīng)濟活動(dòng)�。
新例下這些機構企業(yè)營(yíng)運者要遵守法定責任����,分為三大類(lèi):架構����、預防���、事故報告及回應�,當中又包括:設立電腦系統安全部門(mén)����、報告關(guān)鍵電腦系統的重大變化�、制定安全管理計劃和應急計劃�����,如至少每?jì)赡陞⑴c一次安全演習��。條例亦訂明���,若營(yíng)運者未履行法定責任��,最高可罰款500萬(wàn)元及每日額外罰款5萬(wàn)至10萬(wàn)元�。
尋找專(zhuān)家團隊 預檢系統安全基礎合規
馬凱雯指出并非所有系統都是“關(guān)鍵電腦系統”���,企業(yè)先要做的是找專(zhuān)家為其作全面風(fēng)險評估����,并列出一些高風(fēng)險項目�����,降低黑客入侵風(fēng)險�����。
泰雷茲應用與數據安全業(yè)務(wù)區域銷(xiāo)售總監馬凱雯(Sabrina)指出�,《條例》所涉八大行業(yè)并非所有電腦系統都屬“關(guān)鍵電腦系統”�����,由于條例針對企業(yè)作監管��,因此條例生效前�����,企業(yè)需要指派內部團隊或外判專(zhuān)家對系統全面評估�,列出高風(fēng)險項目�,并檢查及降低被黑客入侵風(fēng)險����,尤其需重視分散式阻斷服務(wù)(DDoS)攻擊的潛在威脅���,以及數據安全的整體防護����,確保數據得到妥善保護����。
Sabrina提到����,目前有關(guān)部門(mén)將根據企業(yè)的設施核心功能�、系統中斷時(shí)可能造成的影響�����,以及運營(yíng)商對系統的依賴(lài)程度等因素�,判斷是否將企業(yè)的系統指定為“關(guān)鍵電腦系統”�����。因此�,對已具備基礎保安措施的企業(yè)����,現階段只需進(jìn)一步檢視并提升現有系統安全性�����。特別是針對關(guān)鍵基礎設施的網(wǎng)絡(luò )韌性和數據傳輸加密(如國際標準的TLS/SSL協(xié)議)���,以抵御日益復雜的網(wǎng)絡(luò )攻擊��。
她建議企業(yè)先尋找第三方具豐富國際合規經(jīng)驗的系統安全專(zhuān)家���,全面評估包括數據加密傳送��、應用程序(APP)安全����、數據庫保護��,以及DDoS緩解方案等各層面的安全措施����。同時(shí)���,企業(yè)應規劃定期的安全演習與滲透測試��,確保系統通過(guò)安全審核并符合規例要求�,尤其是在面對針對性攻擊時(shí)能維持業(yè)務(wù)連續性��。
A
I及量子計算機 為數據加密帶來(lái)挑戰
許樹(shù)懷指出在A(yíng)I及量子計算機時(shí)代���,以往數據加密傳輸可能一夕間落伍����,所以企業(yè)需要先部署可抗量子計算機解密的加密鎖匙管理作為防范策略��。
泰雷茲應用與數據安全業(yè)務(wù)區域副總裁(大中華區及韓國)許樹(shù)懷(Wayne)指出���,有關(guān)部門(mén)有一定靈活性保障公眾��,但執行時(shí)間或較短促����,對于企業(yè)而言盡早檢驗查看系統規劃����,可省卻日后合規時(shí)的額外成本�����。Wayne還提醒說(shuō)���,不少黑客亦會(huì )趁機預先試探或入侵企業(yè)����,盜取加密通訊數據���,以便日后入侵���,因此企業(yè)急需審查數據密鑰管理系統(Key Management System)���、算法等��,以防出現漏洞����。
Wayne直言AI及量子計算機爆發(fā)式普及����,以往數據加密傳輸也有可能一夕被破解��,所以關(guān)鍵電腦系統企業(yè)更應先行規劃密鑰管理作為防范策略���,如部署后量子計算機加密(Post-Quantum Cryptography)風(fēng)險管理工具���,及早進(jìn)行系統測試升級��,以避免量子計算機及AI的技術(shù)更加成熟時(shí)出現數據泄露的風(fēng)險�����。這不僅能增強客戶(hù)對企業(yè)信任��,也有助提升企業(yè)在市場(chǎng)上的競爭力����。
隨著(zhù)全球對數據安全重視程度不斷提高�,企業(yè)應主動(dòng)了解AI及量子計算機對安全的影響��,以高于《條例》規范檢視系統��,迎接AI與量子計算機時(shí)代帶來(lái)的挑戰����。對于高風(fēng)險的八類(lèi)企業(yè)而言�,更應加快步伐制定完善安全��、數據加密的策略�,確保在法例生效后能夠即時(shí)符合要求��。這不僅是確保本地以至海外合規的必要舉措�����,也是保障企業(yè)長(cháng)遠發(fā)展的關(guān)鍵投入�。
該《條例》旨在加強香港關(guān)鍵基礎設施的網(wǎng)絡(luò )安全���,降低對重要服務(wù)的干擾風(fēng)險�����;相關(guān)技術(shù)手段有助于企業(yè)簡(jiǎn)化合規流程并提升安全自動(dòng)化水平����,以更有效應對條例要求���。
