消委會遭黑客入侵|資訊科技總監譴責罪行:政府現有保安措施足夠
消費者委員會電腦系統遭黑客入侵,員工及訂戶個人資料或已外洩,消委會今早(22日)稱黑客要求要在明晚前交50萬美元贖金,事件是繼上月數碼港公布有資料外洩後,一個內再有公營機構遭黑客入侵。政府資訊科技總監黃志光今午在政府總部會見傳媒,指政府高度關注接連有公營機構有網絡安全事故,並譴責有關罪行,資科辦已聯絡有關機構提供技術支援、政府運作模式經驗等,以加強兩機構網絡安全保護。
黃志光指,每個機構電腦系統均不一樣,要按系統去做,資科辦會提供協助,並提供有用工具作為參考。他稱有向數碼港及消委會了解,並稱由於政府現時系統經部門中央管理及保護,暫時政府系統的保安措施是「足夠同到位」。
黃志光指,網絡安全事件無處不在,提醒公眾及機構加緊留意不同來源資訊,如來歷不明電郵、附件或未核實網站要小心,做好預防措施。
至於政府數據,黃志光稱有三個方向的保護,一是在技術方面,大部份的政府系統都在政府私有雲端系統中央管理,透過中央互聯網通訊集接觸,當中有不同防火牆、入侵偵測、24小時網絡資料流量分析,以及提供警報安排等。
黃志光亦指,有充足指引及技術措施,安排部門系統在不同網絡做分隔,例如涉政府內部資訊系統,會對外接觸的互聯網系統會有分隔,按保安需要及數據重要性,在系統上有保安措施加強,數據保護會按系統級別提供不同層次數據加密。
他指,中央互聯網通訊集會監察輸出和輸入的電郵,並會隔除帶有惡意附件電郵,及惡意連結的電郵,即使是可疑或懷疑是網絡釣魚、大規模欺詐電郵,都會打標籤,提高同事警覺。
第二是在制度方面,黃志光稱有制度及完備指引會要求嚴格遵守,包括所有系統投服務都要做嚴格網絡安全及私隱評估審查,系統在更新或投入服務前要做相同審計,當系統運作兩至三年後,都要重新同類審計。他稱資科辦網絡安全團隊會定時與部門做遵從審計,確保部門嚴格政府定網安全規例、政策及措施。
除政策及安排外,他稱已要求每部門成立電腦保安事故應變小組,與資科辦緊密聯繫,當發生事故要即時通報資科辦協調團隊,當有事故時會要求部門向監察機構,例如私隱專員公署及警方網罪科通報,資科辦會主動協助其應變及復修工作。
黃指第三方面是加強政府員工培訓技能,會加強與警方網罪科的演練,加強員工在相關方面的反應及技術,資科辦會定時與國家及國際網絡事故應變機構加強聯繫,互通資料及技術情報,並參與區域性網絡安全保安事故演練,提升技術。
黃志光稱,政府網絡保安系統主要針對政府部門及系統,也要求政府部門發生相關事故後要在24小時內通報,包括公務員使用互聯網資料,但未包公私營機構,故未包括消委會。他強調所有公私營機構有責任保護其數據。他又說,機構有需要可向資科辦在生促局成立的電腦事故保安中心尋求協助。
他又說,發生事故後機構應做好善後工作,並全面檢查系統出現什麼問題,政府有相關指引可參考。
黃續稱,政府會24小時全天候監察網絡攻擊,但間中也有企圖攻擊政府系統事件發生,情況「好普遍、係隨機性」。他指該些攻擊會視乎其個人或機構系統是否有鬆懈,看是否有機可乘,呼籲所有人都要提供警覺,也要加強個人教育,會做許多網絡安全宣傳及推廣。