來稿|智慧城市網絡安全堪憂 杜絕數據劏房堵保安漏洞

撰文:01多聲道
出版:更新:

數碼港及消委會的電腦系統先後被黑客入侵兼勒索,相關資料慘遭「撕票」公開,可見在大數據時代,數據價值千金,而當遺失電話慘過丟掉銀包,雲端數據儲存的保安系統重要性,隨時大過銀行的保險庫。香港銳意成為智慧城市,但最近兩宗黑客事件,加上一直未解決的工業邨數據中心保安漏洞,網絡安全隱患不少,也暴露了這個城市網絡確實不見得很有「智慧」。

來稿作者:袁順圍

上月數碼港400GB資料外洩事件,據報連行政總裁任景信等高層的身份證號碼、薪金、住址資料都在暗網被公開,令人質疑數碼港的科技水平及保安能力之餘,也影響香港想逐步建立的創科之都形象。事發後大家才赫然發現,原來被黑客入侵勒索,並非外國獨有之事,未消化好如何應對之際,便到消委會中招了。黑客的下手目標似乎是公營機構,筆者並非「黑心」,但很自然會想,黑客下個目標是哪一間機構?由於兩次都勒索不遂,如果要向更高級別挑戰立威,黑客會否揀本港創科龍頭科技園或其管轄的工業邨(現稱創新園)下手?

科技園內部電腦系統的網絡保安水平如何,因資料甚少,難以評估,但工業邨的網絡安全,從公開資料來看,就令人十分擔心。眾所周知,科技園近年不斷廉價批出工業邨土地予大企業興建數據中心,單是將軍澳工業邨已有逾10間,這些數據中心多年來被形容為「數據劏房」,兩年前園方更因此被入稟司法覆核,最終敗訴,案件判詞揭發其中一間巨企Global Switch所訂立的數據中心分租租約條款中,列明有權覆查、紀錄甚至可以以保安理由移除租戶的設施,而Global Switch在數個月內曾進入了其分租戶地方近200次。

更甚的是有關條款指出,大業主科技園原來也可隨時進入數據中心營運商的地方,包括第三方分租租戶的地方,營運商及分租租戶是無權拒絕的。須知道將軍澳工業邨內的數據中心,租戶眾多,涵蓋銀行、保險公司及醫療機構等,儲存了很多敏感數據資料,例如NTT香港金融數據中心,有網頁介紹過NTT內有防闖閘門,聲稱特種部隊也要花一段時間爆破才可進入其範圍。然而在這些條款下,「外人」原來不用硬闖已可「自出自入」,尤如無掩雞籠,內裡的數據伺服器豈不是毫無保障 ?

根據金管局的「科技風險管理守則」,認可金融機構處理關鍵資料的設施,應設於保安區內,只限獲授權人員才可進入,而且必須管控第三方人員(如服務供應商)進入保安區,並訂立核准進入程序,更要緊密監察他們在內之活動。明顯地,工業邨內的「數據劏房」先天設定已不可能符合局方守則,這造成一個矛盾局面,相關金融機構跟從租約條款,就等於無視金管局守則,如做足局方要求,則代表現科技園沒有確保承租人遵守其租約條款。金管局對此責無旁貸,應認真審視有違守則的行為,否則一旦出事,後果比數碼港或消委會事件嚴重得多。

創新科技及工業局局長孫東上月在數碼港出事後,強調政府資訊科技總監辦公室已向政府各部門、所屬公營機構發出電郵,指示要即時檢討現有的存放數據的系統安全程度,要從中汲取教訓,避免同類事件再次發生。將軍澳工業邨內的數據中心有否因應近期連串事故,提高網絡系統保安?作為科技發展領軍的大業主科技園,似乎未見就此作任何表示。可幸的是,至今未有出現第三宗黑客入侵勒索事件。

創新及科技局的文件亦指出,對於內地企業及跨國企業,「高效能和安全可靠的數據中心服務是他們在香港設立地區辦事處及總部的一個重要考量」,反映數據中心安全有保證,商業機密資料受保障,才有利爭取大型企業進駐香港。早年Google放棄在將軍澳工業邨興建香港數據中心一事,就是最實在的例子。

無論如何,因應受襲風險而提高防範是必須的,但這只是治標,要治本必須取杜絕分租行為,取締「數據劏房」,務求令所有數據中心也獨立運作。同時,科技園也必須盡快採取適當行動,糾正以往的錯誤,否則被黑客入侵風險只會一直存在,外界對本港數據中心產業的信心定必大打折扣。

智慧城市的發展,整體運作高度依靠互聯網傳取雲端數據,由於全球數據量迅速增長,雲端運算、人工智能、大數據分析、物聯網及未來5G的廣泛應用,本港對數據中心設施及服務的需求一定有增無減。但重量也要重質,政府部門也好,科技園或工業邨租戶也好,必須明白對於數據中心而言,系統安全比一切都重要。

筆者認為,香港礙於面積及人口,在創科規模上未必做到最大最闊,但如果在網絡安全方面做到世界前列,以「亞洲最安全最穩健」的數據中心作為定位,相信也是一個很好的賣點,這也是吸引企業來港的重要元素。

作者袁順圍從事物業管理近十年,曾任職房屋事務主任。文章僅屬作者意見,不代表香港01立場。

「01觀點」歡迎投稿,來函請電郵至01view@hk01.com。來稿請附上作者真實姓名及聯絡方法。若不適用,恕不通知。