立法會七題:政府部門及公營機構的資訊保安
以下是今日(三月二十六日)在立法會會議上林健鋒議員的提問和創新科技及工業局局長孫東教授的書面答覆:
問題:
上月,投資推廣署發生電腦系統遭惡意勒索軟件入侵的資訊保安事故,其內部客户管理系統、內聯網、網站運作等均受到影響。就政府部門及公營機構發生網絡安全的事故,政府可否告知本會:
(一)過去三年,政府部門及公營機構遭惡意勒索軟件入侵的以下資料:(i)個案宗數、(ii)涉及的政府部門及公營機構、(iii)涉及泄漏個人、客户或內部資料的個案宗數,以及(iv)涉案不法分子被拘捕的人數;
(二)鑑於香港正積極招商引才,政府有否收到上述投資推廣署資訊保安事故的公眾投訴或查詢;如有,數目為何;政府有否評估,該資訊保安事故有否影響投資者對投資推廣署資訊保安的信心,甚至影響投資者來港投資的意向;及
(三)政府有何措施提升政府部門及公營機構電腦及資訊系統的保安,以及預計何時會就有關措施的成效進行檢討,以持續確保該等部門及機構有關系統的安全?
答覆:
主席:
就林健鋒議員的提問,經統籌保安局及商務及經濟發展局提供的資料後,現回覆如下:
(一)根據《政府資訊科技保安政策及指引》,相關決策局/部門(局/部門)在發生政府資訊保安事故後須向數字政策辦公室(數字辦)轄下的政府資訊保安事故應變辦事處通報,並視乎事故性質通報個人資料私隱專員公署(私隱專員公署)及/或警方。
在二○二二年、二○二三年及二○二四年,數字辦分別接獲五宗、三宗及兩宗政府資訊科技系統遭受勒索軟件攻擊的通報。以上事故均沒有導致任何資料外洩。基於事件的性質、資料敏感性及保安考慮等,相關部門認為不宜公布有關詳情,以免增加政府系統被惡意入侵的風險。數字辦在收到上述通報後已即時協助相關部門處理事件,並提供技術意見,以提升部門的資訊保安。
至於公營機構方面,數字辦或香港網絡安全事故協調中心在過去三年並沒有接獲公營機構就遭受勒索軟件攻擊而引發的資訊保安事件通報。惟我們留意到個別公營機構曾因應事件的性質及具體情況,主動向外發出事故公布。為提升公營機構的資訊保安及加強事故通報機制,政府於二○二四年八月起規定公營機構在其指定資訊科技系統發生事故後須通報相關局/部門。截至今年三月中旬,政府並沒有收到相關報告。
視乎案情,勒索軟件攻擊有機會違反「刑事恐嚇」(《刑事罪行條例》第24條)、「刑事毀壞」(《刑事罪行條例》第60條)、「有犯罪或不誠實意圖而取用電腦」(《刑事罪行條例》第161條)或其他相關罪行。警方並未就勒索軟件攻擊的拘捕數字作分類統計。
(二)關於投資推廣署於今年二月二十二日發現的一宗涉及惡意勒索軟件攻擊部分電腦系統的資訊保安事故,署方於發現事件後已即時採取行動,加強系統的安全措施,防止進一步受到勒索軟件攻擊;並已即日按既定程序向警方報案,以及向數字辦、私隱專員公署和保安局通報事件。根據署方調查所得,未有證據顯示事件涉及個人資料外洩,亦沒有再偵測到任何可疑的活動情況。截至今年三月中旬,署方並沒有收到與今次資訊保安事故相關的公眾投訴或查詢。事件發生後,投資推廣署及時發布新聞稿向公眾及該署客戶清楚解釋情況,相信事件未有影響投資者的信心。投資推廣署一直根據政府既定程序執行資訊及網絡保安工作,亦會繼續配合數字辦及專家的建議加強系統的安全措施,防止類似事件再次發生。
(三)為加強局/部門及公營機構的資訊科技安全,政府已推行多項優化措施,要求各局/部門及其負責的公營機構提升資訊科技系統的項目管治和保安工作,重點措施包括:
(i)強化監督責任:各局/部門須指派一名高級首長級政府官員或相關機構管理團隊的主管或副主管負責監督資訊保安工作,並即時檢視其現有的網絡安全措施,加強防範工作,抵禦網絡攻擊。
(ii)恆常測試、評估及審核:各局/部門及公營機構必須在其資訊科技系統推出前安排由獨立第三方進行的壓力測試及保安測試,並至少每兩年為其所有資訊科技系統進行一次保安風險評估。保安風險評估會根據風險源頭(例如漏洞、威脅)、事件(例如事故場景)、風險的影響和可能性等來決定進行緩急排序以作風險處理及更新應變措施。
(iii)系統健康檢查、滲透測試及遵行審計:數字辦增設中央網絡安全健康檢查平台,定期及持續地為政府面向公眾的資訊科技系統進行健康檢查及滲透測試,以加強局/部門識別系統潛在的安全漏洞,從而加強防範資訊及網絡保安事故。數字辦亦於二○二四年展開新一輪的全政府資訊保安遵行審計,及會選定八個政府資訊科技系統在二○二五年進行深入資訊保安遵行審計。
(iv)實境網絡安全攻防演練:數字辦由二○二四年起每年統籌主辦實境網絡安全攻防演練,邀請不同的局/部門及公營機構參與,模擬真實的網絡攻擊,以測試資訊科技系統在遇到網絡攻擊時的反應和應變能力,以期通過實戰演練提升局/部門和機構應對網絡攻擊的技術、經驗和整體防禦能力,以攻築防。
(v)加強員工培訓:數字辦聯同公務員學院籌辦「創新與科技」系列專題講座予各局/部門的高層管理人員,並提供最新的網絡安全趨勢及預防措施,藉此提升他們的資訊保安知識。
(轉載自香港特別行政區政府新聞公報)
