消委會遭黑客入侵｜資訊科技總監譴責罪行：政府現有保安措施足夠

消費者委員會電腦系統遭黑客入侵，員工及訂戶個人資料或已外洩，消委會今早（22日）稱黑客要求要在明晚前交50萬美元贖金，事件是繼上月數碼港公布有資料外洩後，一個內再有公營機構遭黑客入侵。政府資訊科技總監黃志光今午在政府總部會見傳媒，指政府高度關注接連有公營機構有網絡安全事故，並譴責有關罪行，資科辦已聯絡有關機構提供技術支援、政府運作模式經驗等，以加強兩機構網絡安全保護。

黃志光指，每個機構電腦系統均不一樣，要按系統去做，資科辦會提供協助，並提供有用工具作為參考。他稱有向數碼港及消委會了解，並稱由於政府現時系統經部門中央管理及保護，暫時政府系統的保安措施是「足夠同到位」。

黃志光指，網絡安全事件無處不在，提醒公眾及機構加緊留意不同來源資訊，如來歷不明電郵、附件或未核實網站要小心，做好預防措施。

至於政府數據，黃志光稱有三個方向的保護，一是在技術方面，大部份的政府系統都在政府私有雲端系統中央管理，透過中央互聯網通訊集接觸，當中有不同防火牆、入侵偵測、24小時網絡資料流量分析，以及提供警報安排等。

黃志光亦指，有充足指引及技術措施，安排部門系統在不同網絡做分隔，例如涉政府內部資訊系統，會對外接觸的互聯網系統會有分隔，按保安需要及數據重要性，在系統上有保安措施加強，數據保護會按系統級別提供不同層次數據加密。

他指，中央互聯網通訊集會監察輸出和輸入的電郵，並會隔除帶有惡意附件電郵，及惡意連結的電郵，即使是可疑或懷疑是網絡釣魚、大規模欺詐電郵，都會打標籤，提高同事警覺。

第二是在制度方面，黃志光稱有制度及完備指引會要求嚴格遵守，包括所有系統投服務都要做嚴格網絡安全及私隱評估審查，系統在更新或投入服務前要做相同審計，當系統運作兩至三年後，都要重新同類審計。他稱資科辦網絡安全團隊會定時與部門做遵從審計，確保部門嚴格政府定網安全規例、政策及措施。

除政策及安排外，他稱已要求每部門成立電腦保安事故應變小組，與資科辦緊密聯繫，當發生事故要即時通報資科辦協調團隊，當有事故時會要求部門向監察機構，例如私隱專員公署及警方網罪科通報，資科辦會主動協助其應變及復修工作。

黃指第三方面是加強政府員工培訓技能，會加強與警方網罪科的演練，加強員工在相關方面的反應及技術，資科辦會定時與國家及國際網絡事故應變機構加強聯繫，互通資料及技術情報，並參與區域性網絡安全保安事故演練，提升技術。

黃志光稱，政府網絡保安系統主要針對政府部門及系統，也要求政府部門發生相關事故後要在24小時內通報，包括公務員使用互聯網資料，但未包公私營機構，故未包括消委會。他強調所有公私營機構有責任保護其數據。他又說，機構有需要可向資科辦在生促局成立的電腦事故保安中心尋求協助。

他又說，發生事故後機構應做好善後工作，並全面檢查系統出現什麼問題，政府有相關指引可參考。

黃續稱，政府會24小時全天候監察網絡攻擊，但間中也有企圖攻擊政府系統事件發生，情況「好普遍、係隨機性」。他指該些攻擊會視乎其個人或機構系統是否有鬆懈，看是否有機可乘，呼籲所有人都要提供警覺，也要加強個人教育，會做許多網絡安全宣傳及推廣。