網絡安全領域總是處於道高一尺、魔高一丈的拉鋸狀態,正如本周《 Focus 》專題探討的勒索軟件,雖然出現多年,伎倆離不開先利用電郵誘騙用戶上當,但技術變化多端,每年跌下陷阱的人和企業總是數不清,甚至有大家熟悉的品牌。一旦用上這些公司的服務,一般用戶也受波及。
企業要對網絡安全做好把關功夫,只要不慎失守,影響所及的不止金錢損失、摧毀品牌,除時也要負上法律責任。但面對全球排山倒海的安全資訊,大型企業設有資訊安全小組也未必能及時應付,更何況中小型企業?
香港過去獲取網絡安全資訊的其中一個渠道是來自由生產力促進局管理的香港電腦保安事故協調中心( HKCERT ),提供的服務是監察重要的資訊保安漏洞和電腦病毒、蠕蟲的發展,在有需要時會發出警報提醒大眾,以緩減這些威脅的衝擊。
多一個渠道獲取資訊
單靠一兩個單位的資訊顯然不足,特別是企業面對日新月異的網絡攻擊,如何部署、如何應付、如何規劃資訊安全策略,過往只靠服務供應商,行業交流機會不多。
為加強企業對網絡安全趨勢的認知,促進業界互通資訊,培養行業間的合作文化,提高分享網絡安全資訊的效率,提升香港整體應付網絡攻擊的防衛和復原能力,政府資訊科技總監辦公室(資科辦)於 2018 年提出網絡安全資訊共享夥伴計畫 Cybersec Infohub ,並獲創新及科技局撥款資助,為期兩年。
任何香港公司或機構,只要負責管理電子通訊網絡和對網絡安全資訊有運作需要,均可免費參加成為夥伴計畫的成員。根據資科辦的數據,夥伴計畫試行至今,共有 259 間成員機構的 850 多名登記代表參與,涵蓋金融與保險、公用事業、運輸、醫療、電訊、創新科技、資訊保安、大專院校等。
資科辦認為夥伴計畫見成效,由9月1日起將此計畫變成固定項目,並聯同香港互聯網註冊管理有限公司( HKIRC )合作營運協作平台 Cybersechub.hk ,繼續推動公私營機構以跨行業形式交流網絡安全資訊。
但不難發現香港電腦保安事故協調中心及 Cybersechub.hk 的角色類似,都有警報發放、安全資訊通報,甚至舉辦工作坊及研討會等。不同的,或者只在主辦方是誰而已。不過,多一個渠道發放網絡安全資訊,對各界仍然是好事。