《保護關鍵基礎設施(電腦系統)條例草案》本周三(19日)在立法會獲得三讀通過,並計劃於明年1月正式生效。保安局表示,有關《條例》並非「兵捉賊」的條例,而是列明規管要求,關鍵基礎設施營運者保持伙伴關係,目的是確保本港關鍵基礎設施的電腦系統具有韌性,能抵禦黑客進行的網絡攻擊,並能盡快恢復正常運作。
全球不同地區關鍵基礎設施電腦系統受到網絡攻擊
保安局常任秘書長李百全接受《星島》訪問時表示,政府訂立有關條例,是因應全球不同地區的關鍵基礎設施電腦系統近年受到網絡攻擊的問題,若本港關鍵基礎設施的電腦系統受到網絡攻擊,隨時會癱瘓相關服務,影響市民的日常生活及經濟活動,對整個社會帶來巨大影響。
李百全強調,政府只會針對關鍵基礎設施的電腦系統的安全問題,絕對不會針對個人資料或商業機密,而保安局局長鄧炳強本周三在立法會,以及多次在不同場合及透過政策文件都反覆強調,政府的立法目的十分清晰,就是針對關鍵基礎設施,主要是本港的大型企業及機構,故不會影響中小企及一般市民,相反,只會令市民日常使用的服務更加穩定。
李百全續謂,《條例》不會令大型企業及機構於維護其提供核心務的電腦系統安全大幅增加合規成本,「之前亦同佢地溝通過,其實為確保服務提供正常,機構自己最緊張佢地電腦系統嘅安全,因一旦系統遭受網絡攻擊被擾亂或破壞,佢哋嘅核心服務會受到影響」,因此它們本身已經採取相當措施確保自己嘅電腦系統安全,政府現在只是將一些務實的要求透過《條例》定出來,確保不同設施的營運者遵守,提升本港整體關鍵基礎設施電腦系統安全,同時確保其韌性,一旦遇到攻擊,亦有能力盡快將系統恢復正常運作。
政府當局與營運者是伙伴關係
李百全重申,在這《條例》下,政府當局與營運者是伙伴關係,「呢條唔係兵捉賊嘅條例,營運者是政府當局嘅伙伴,共同維持電腦系統安全」,立法目的不在懲罰營運者,但是為了確保條例有效實施及執行,《條例》亦訂明相關的罪行及適當的罰則,專責辦公室亦有調查權力,目的是希望協助營運者提升其電腦系統安全,「我們認為大部分營運者都能遵守要求,但如果真係有營運者跟不上法例上嘅要求,罰則只會係針對機構罰款,而不是個人的刑責。」
目的是希望有關建議做得到、幫得到
李百全表示,保安局在計劃訂立有關法例前,早於2023年已開始與業界溝通,並將收集的意見適當地納入立法框架,至2024年展開公眾諮詢,期間亦與業界進行了多次溝通和簡介會議,目的是希望有關建議最後是他們做得到、幫得到,強化得到本港整體關鍵基礎設施的電腦系統安全,「呢個係伙伴關係,唔係法例通過咗就完,而係現在進行式,會同業界持續溝通」,當日後成立專責辦公室後,便會制訂實務守則,協助營運者達致有關要求。
對於有些營運者的電腦系統保安工作外判予第三方服務提供者,李百全表示,已從溝通過程充分理解業界的運作,並強調工作可以外判,但責任不能外判,故《條例》要求營運者必須設立電腦安全部門,雖然這部門的工作可以外判,但是有關主管必須由該營運者聘用,這個安排一方面可照顧業界運作的需要,另一方面亦可確保責任要到位。
已參考不同地方的法例要求
李百全又指,於訂立法例時,已參考不同地方的法例要求,包括內地、澳門、新加坡,美國、澳洲、加拿大及英國,「最後放落法例嘅要求,全部都是適合香港嘅實際情況,這些要求,在其他司法管轄區亦十分普遍」。
罰款必須具阻嚇力
就《條例》的罰則而言,最高罰款為500萬港元,李百全表示,「罰款必須具阻嚇力。其實歐盟的最高罰款為8000萬港元,英國的最高罰款更超過1億港元。我哋唔係要施加好重嘅刑罰,而是要確保有足夠的阻嚇力。
世界各地過去發生的嚴重電腦保安事故:
2021年/美國燃油運輸管道Colonial Pipeline (殖民管道) 的管理系統受襲 ,令系統不能正常計算費用。該公司決定停止輸油,令多州進入緊急狀態。
2024年1月/瑞典數據中心受勒索軟件攻擊,影響瑞典大部分大學和170多家政府機構。攻擊事件導致這些組織的員工無法提交事假申請或報銷申請,以及令薪酬管理系統暫停運作。
2024年2月/UnitedHealth (美國醫療保險公司)遭受黑客集團AlphV(又名BlackCat)勒索軟件攻擊,入侵其公司系統,並可能盜取高達全美三分之一國民的個人資料及醫療資訊。
記者 鄭華坤
