新思維｜政府資訊安全屢失守　問責缺失交代不足

來稿作者：彭意婷

2023年8月發生的數碼港黑客入侵事件，至今已逾一年，卻仍未見政府或數碼港向公眾及立法會作出全面交代。這一涉及超過13,000名市民個人資料外洩的事件，揭示了香港政府在資訊安全保護、公眾問責和危機管理方面的嚴重不足。

政府對資訊安全保護的意識明顯薄弱。數碼港作為香港創新科技的旗艦項目，其網絡安全機制竟存在多項嚴重漏洞，包括保安審計頻率不足和未啟用多重認證功能等基本問題。這不僅反映了數碼港本身的管理缺陷，更凸顯了政府在監管和指導方面的失職。數碼港的案例只是冰山一角，近期公司註冊處、機電工程署、消防處等多個政府部門都出現了資料外洩或存在外洩風險的情況。這一系列事件接連發生，顯示政府在資訊安全管理方面缺乏有效的統籌和系統性的應對措施。

政府在公眾交代和問責方面的表現同樣令人失望。數碼港已於2024年2月向個人資料私隱專員公署提交了完整的調查報告，但該報告至今未向公眾公開。私隱專員公署於2024年3月28日向數碼港發出執行通知後，四個月過去，公眾仍然不知道數碼港是否已經按時完成所有指示措施。這種信息不透明的做法嚴重損害了公眾對政府的信任，也反映了政府在危機處理和溝通方面的能力不足。

面對這些挑戰，政府必須採取全面而系統的措施來提升其資訊安全管理水平。首先，政府應在體系內培養強烈的資訊安全文化，提高所有部門和員工的資訊安全保護意識。其次，政府需要建立一個更為透明和有效的問責機制。這不僅包括及時公開事件調查報告，還應該定期向立法會和公眾匯報處理進展，確保相關責任人能夠得到適當的處理。

鑒於資訊安全事件頻發，政府需建立一個有效的統籌機制，制定統一的安全標準、監督各部門的執行情況、協調應對突發事件，並定期進行全面的安全評估。同時，政府還應該制定一個全面的資訊安全長期策略，包括定期更新安全措施、持續培訓員工、引入先進技術等，以適應不斷變化的網絡威脅環境。

政府還需要大幅提升其危機溝通能力。在發生資訊安全事件時，能夠主動及時、透明、全面與公眾溝通至關重要。這不僅有助於維護公眾信任，也能夠幫助減輕事件可能帶來的負面影響。此外，政府應該考慮加強相關法律框架，以完善保護個人資料，並明確政府部門在資訊安全方面的責任和義務。

數碼港事件和其他一系列資訊安全問題暴露了香港政府在這一領域的嚴重不足。在數字化時代，資訊安全直接關係到市民的權益和香港的國際競爭力。政府必須正視問題，採取全面、系統的措施來提升資訊安全水平，同時大幅提高公眾交代的透明度和問責制度的有效性，香港才能維護其作為國際金融和科技中心的地位。

作者彭意婷是新思維執委。文章僅屬作者意見，不代表香港01立場。

「01論壇」歡迎投稿，來函請電郵至01view@hk01.com。 來稿請附上作者真實姓名及聯絡方法。 若不適用，恕不通知。