大公文匯網 新聞 香港

文匯專訪|葉青陽:訂立網安標準 黑客除惡務盡

文匯專訪|葉青陽:訂立網安標準 黑客除惡務盡

文匯專訪

2024.04.19 09:17:36
字號:
特大
葉青陽期望,特區政府能透過借鑑內地和其他地區的做法,有序立法保障重要基礎設施免遭黑客攻擊。(香港文匯報記者 涂穴 攝)

(香港文匯報記者 黃子晉、姜嘉軒)網絡安全是社會安穩的基石,是國家安全的重要一環,香港特區政府預計在今年下半年度向立法會提交網絡安全(關鍵基礎設施)條例草案,藉立法加強相關守護工作。致力推動香港與內地網絡安全及產業標準制定的資深網絡安全專家葉青陽近日接受香港文匯報專訪時表示,網絡攻擊對社會的破壞可大可小,不容小覷,然而香港一直未有相關法規,令本地企業的網絡安全意識低下,大小事故連連。他期望特區政府借鑑內地和其他國家及地區的做法,有序立法保障重要基礎設施免遭黑客攻擊,並應為不同行業量身訂製合適網絡安全指引、標準,讓社會各界做好風險評估、數據審核、安全事故應急、攻防演練等,讓各界防患未然,提高警惕,以達至萬無一失。

香港黑客勒索嚴重事故近年接二連三,如數碼港去年遭黑客入侵,逾1.3萬名員工和求職者個人資料外洩。葉青陽說,無論政府部門或私人企業都會以互聯網為市民或客戶提供服務,譬如預約公立醫院覆診、訂機票、管理銀行戶口等,都離不開手機應用程式,然而全球網絡入侵日益猖獗,小至個人私隱或財產失竊,大到讓金融、供電、供水系統出現停頓,忽視網絡安全的後果堪虞。

「網絡攻擊不像搶劫等傳統犯罪,黑客有諸多隱身手段,就算是執法部門的專家,很多時亦難找到入侵源頭,破案極難。」他說。

葉青陽指出,內地、澳門以至很多其他國家及地區早已完善維護網絡安全的法例和措施。例如內地多個省市的政府都會安排「紅隊」到一些重要企業或機構進行系統滲透測試,模擬現實世界的黑客攻擊,要求企業或機構評估漏、找出防禦方法等,倘入侵成功,重則甚至可能罰款,而有關訓練對提升網絡安全非常高效。「正如若打機要打得厲害,最起碼一定要打得多。」

然而,香港相關法規多年來一直有待完善,「雖然金融業有金管局清晰制訂的嚴謹網絡安全指引,但電訊公司、旅行社等很多需要處理大量個人私隱的行業,仍缺乏嚴謹的網絡安全指引和監管。在沒有法例監管下,很多香港企業的網絡安全意識低下,常出現員工按錯黑客連結的『低級錯誤』,引發各類型影響嚴重的入侵事故。」

企業賺逾億 僅花數千元防毒

葉青陽直言,不少香港公司就算每年有逾億元收入,在進行數據安全預算時只考慮會不會帶來投資回報,甚至可能每年僅花數千元來買防毒軟件,投入資源與公司規模不成正比,網絡安全漏洞百出。

在中美角力下,現今國際地緣政治關係複雜多變,葉青陽說,本港一些大型企業近年因此更關注提升網絡安全。例如協會得悉一些從事大型地產發展的會員,近年對過去採用了歐美品牌網絡安全產品的內地項目有所擔憂,擔心有關設備會否有「後門(Backdoor)」。從業界的認知,網絡安全產品的確可能會有『後門』,只是很難去證實。「為有備無患,我們通常會建議在處理比較敏感的部門資料或數據儲存時,盡量避免選用某些國家的產品。」

他強調,現時大灣區內地城市的企業和機構,一般都會選用內地製的網絡安全產品,但反觀香港的企業和機構,則可能習慣選用歐美或者以色列等品牌,甚至去年更有報道指出,有特區政府部門曾在涉及伺服器防火牆的招標文件中列明,有關防火牆必須符合美國ICSA認證標準,然而在中美貿易戰下,幾乎再無內地製的防火牆可獲該認證,變相投標無望。

盼制定標準接軌內地聯通世界

「世界各地涉及網絡安全的標準各有不同,協會已成立有關獨立委員會,希望凝聚各界持份者意見,支持特區政府為香港探討制訂一套能接軌內地、聯通世界的網絡安全標準,為各行業量身訂製合適指引,維護好網絡安全,有利內地與香港協同發展,同時確保法規不會影響在港外資企業、創科業界的業務。」

倡港引進內地人才 確保人手

人才是網絡及數據安全的關鍵一環,葉青陽坦言,香港要提升網絡安全目前最大挑戰也是人才,原因在於過去20年本地資訊科技專業畢業生有減少趨勢。隨着香港完善相關法規,人才短缺所衍生的問題會很快呈現,他建議特區政府及早探討引進內地人才或外判服務供應商的計劃,確保中短期內網絡安全中層管理等工作有足夠人手,同時要向社會推廣網絡安全發展及晉升空間,特別是大灣區發展帶來的機遇,吸引更多年輕人投身,長遠增加本地人才培育。

葉青陽說,由於欠缺明確出路,本港大專院校IT科目畢業生在過去一段時間平均較20年前減少。在物以罕為貴下,目前各企業對網絡安全人才,尤其是懂得找漏洞、擁有網絡攻防演練經驗的需求很大,「我們公司便曾有一位具備這些能力的實習生,半年實習後一畢業馬上即被高薪挖角。」

為此,葉青陽與他的團隊一直跟各大專院校及中學積極交流,鼓勵院校多以實際操作方式培育學生,並希望多向學生分享成功案例,讓他們認識行業出路。

他特別提到,以往香港網絡安全人才的職業生涯,從初級網絡安全工程師起,到首席安全官已「封頂」,「我們預見到將來會有更多晉升空間,很多企業都會在大灣區部署,未來的管理職位不只是管理香港,而是大灣區各城市。」

勉考取內地認證拓機遇

他坦言,很多業界同行正瞄準大灣區眾多機遇,「行內不少人提及,是否要先去考取一些內地認證,以便將來投身內地相關的網絡安全工作,我認為『絕對是!』」

發展空間擴闊,薪酬待遇和發展空間自然更上一層。他認為,港人多已熟悉港澳市場,如再裝備好內地所需的認證和見識,出路必更加廣闊。協會會發揮好平台角色,積極幫助本港學生與內地企業配對,增加他們學習和就業的機會。

立法提升意識 追上發展步伐

香港正致力發展成為國際創科中心,網絡安全正是創科產品成敗、境外企業是否願意落戶的關鍵因素,可說是香港創科的重要命脈,葉青陽期望,隨着香港就網絡安全立法,可提升各行各業及市民大眾相關意識,加緊追上創科發展步伐。

「當一個地區科技發展至一定程度時,大多都具備相應的(網絡)安全能力,好比新加坡在創科方面非常發達,同時亦會有很多(網絡)安全公司,相關法例法規和配套亦相當成熟和完善,值得我們參考。」葉青陽強調,對創科產業來說,除了產品品質、資金和市場外,若能在研發初期已能完善考慮到各環節的網絡和數據安全,更可望進一步提升競爭力,成為優勝的關鍵。

他舉例,如研發一款旅遊App,其中會儲存客戶年齡、家庭成員狀況、常去地方等個人信息,愈多人使用,數據保護就愈重要,一旦出現一次網絡安全事件,就可能完全失去大眾的信任,故研發及營運人員的網絡安全意識自然要提高。

香港創科正積極引進重點企業,「要吸引內地和海外企業想來香港開辦公室、做研發,我們的網絡安全是否能夠讓它們安心呢,這肯定會是一個考慮重點。」他直言,一旦有企業出現員工資料外洩等問題,將影響有關企業和香港的聲譽。

(來源:香港文匯報A05:要聞 2024/04/19)