網絡安全│ 黑客進行詐騙、勒索及身份盜用 專家倡立法加強保護個人及敏感資料
發佈時間:09:30 2023-08-20
香港距離另一層次的智慧城生活有多遠?智慧城市的建設又會帶來甚麼網絡安全威脅?香港警務處與12位來自不同界別的專家及領袖成立的科技罪案警政顧問小組(「顧問小組」)於6月下旬舉行了第三次會議,探討如何就智慧城市相關的網絡安全挑戰做好準備。
智慧城市何以「智慧」?
智慧城市的「智慧」在於透過資訊及通訊科技(ICT)(例如物聯網、人工智能、大數據、5G流動網絡、雲計算及區塊鏈技術等)連接各種系統及服務,收集大量數據進行分析,以尋找合適方案以提升城市營運效率及即時回應市民的需要,從而改善生活質素。
2020年,政府公布《香港智慧城市藍圖2.0》,提出130項措施,繼續優化及擴大現行城市管理工作及服務。
相關新聞:詐騙來電│ 騙徒數百元收購電話卡 專家倡電訊商優化電話卡實名制
3大網絡安全挑戰
顧問小組認為智慧城市把不同公共服務和基礎設施整合,當中涉及收集、傳輸、處理、儲存海量數據,這些智慧基建設施的資訊科技(IT)和操作技術(OT)系統往往會吸引來自全球各地的黑客和不法分子覷覦,發動網絡攻擊,包括盜取敏感資料、惡意破壞,嚴重甚至影響國家安全。顧問小組總結了以下三大網絡安全威脅:
1.泄露個人資料
智慧城市的智能系統可透過物聯網裝置、手機應用程式等收集數據,例如市民出行習慣、消費記錄、身體情況、醫療記錄等敏感資料,儲存在電腦系統進行分析並有機會透過共享數據及應用程序接口(API)與其他系統交換數據。
有部分收集到的資料會經過匿名化處理,但有部分仍屬敏感資料。敏感資料一旦被黑客盜取、人為泄漏,或因系統漏洞、錯誤設置等導致意外流出,便有可能被不法分子用作非法用途,包括詐騙、勒索、身份盜用、盜竊財產。
試想像一下,今天黑客入侵一般市民家中的IP鏡頭窺視用戶一舉一動,並收集人臉和聲紋,透過深偽技術進行換臉換聲視頻詐騙已非天荒夜譚,黑客未來還可如何進一步利用公眾的敏感資料?
2.癱瘓基建設施
智慧城市把基建設施與資訊系統深度融合,透過互聯網連成一體。當原本獨立運行的設備連接上網,便有機會被黑客入侵。黑客輕則操控或干擾智能公共系統(例如交通管理系統),導致交通混亂,影響市民出行;重則攻擊重要基礎設施(例如發電廠、水務系統、數碼貨幣系統等),直接癱瘓城市。
3.威脅國家安全
除了傳統的網絡間諜活動,近年相繼湧現各種國家級網絡攻擊,例如透過惡意軟件入侵和分散式阻斷服務 (DDoS) 攻擊,威脅各國政府的運作。香港在2014年非法佔中和2019年黑暴中,亦曾經有黑客組織號召攻擊香港政府的資訊系統,企圖癱瘓政府運作。
維護智慧城市安全 立法及規管措施須加快推動
顧問小組認為智慧城市走向萬物聯網(Internet of Everything)屬大勢所趨。但面對日新月異的網絡威脅,本港需要訂立多方位網絡安全策略以面對轉型為智慧城市的挑戰,當中完善網絡安全法制及相關電腦罪行、研究數據共享機制等實屬迫在眉睫。
制定網絡安全法 保護基礎設施
本港如要建設智慧城市,首先需要儘快制定網絡安全法,釐訂關鍵設施營運者(如交通、能源、通訊、金融行業等)的網絡安全責任,例如規定營運者採取保安措施以偵測、堵截和抵禦各種網絡安全威脅、提升企業網絡安全管治水平作為發牌條件等。試想像今年初及去年有電力公司因起火事故而導致多區大停電、交通燈失靈等,假如黑客入侵電力系統影響供電,足以癱瘓本港經濟活動。
對於涉及敏感資料收集、儲存、處理的系統,政府可考慮訂立類似內地《網絡安全等級保護》制度,按照系統若果受破壞,對公眾、社會秩序、國家安全可能構成的損害程度,制定不同等級的保護要求。
加強保護個人及敏感資料
顧問小組亦建議立法對違規或泄露敏感資料的企業採取強而有力的罰則。私隱專員去年就審視有企業互相使用旗下品牌客戶的個人資料,以及數據庫遭勒索軟件攻擊事件時亦坦言,現時《個人資料(私隱)條例》(「私隱條例」)的相關罰則阻嚇力不足,例如就違反專員發出的執行通知,最高只可被判罰款五萬元港幣及監禁兩年。
相比違反歐盟《通用資料保護規則》,違者可判高達全球年營業額4%的罰款、違反內地《個人信息保護法》規定者最高可被罰款人民幣五千萬元,或上一年度營業額的5%,並可被責令停業整頓、吊銷相關業務許可或營業執照等,私隱條例的罰則或有檢視的空間。
訂立網絡罪行法例
本港現時針對網絡罪行的法例主要是實施多年的《刑事罪行條例》的「有犯罪或不誠實意圖而取用電腦」、「摧毀或損壞財產」及《電訊條例》的「藉電訊而在未獲授權下取用電腦資料」。
然而,有關法例並不能針對打擊新型的網絡犯罪活動,例如管有網絡攻擊工具或惡意軟件等。雖然法律改革委員會電腦網絡罪行小組委員會正就「依賴電腦網絡的罪行及司法管轄權事宜」制定新法例,覆蓋(一)依賴電腦網絡的罪行及司法管轄權事宜、(二)借助電腦網絡的罪行及(三)處理證據事宜及執法(程序)事宜,整個立法程序仍需時甚長。
顧問小組建議政府加快立法,有效規管網上平台的犯罪活動,例如規定平台必須保存數據不少於指定期限,賦予執法機構權利要求網絡服務供應商提交記錄、移除非法內容等,以便執法機構進行搜證。
優化數據共享平台
完善數據共享機制是打通智慧城市「任督二脈」的關鍵,當中政府需要主導訂立法規、標準化數據制式和建構數據共享生態,企業和民間組織方能從中製造價值。
以新加坡為例子,當地的「可信任資料框架」設有沙盒機制讓企業在有條件下豁免法規限制使用及分享資料,政府亦有詳細指引列明企業在甚麼情況下能共享數據、如何制定數據格式便利使用、與其他企業訂立數據共享協議時的考慮等。
此外,當地政府亦為整個城市在虛擬空間建立「數碼分身」,讓公眾參與城市規劃和管理。顧問小組建議政府借鏡以上措施,為共享數據製造便利和合規的空間。
______________________________________________________
《星島申訴王》為民請命抱不平、追蹤城中熱話,亦會搜羅坊間溫情小故事。你申訴,我跟進,WhatsApp搵91999933,《星島申訴王》隨時候命!
《星島頭條》APP經已推出最新版本,請立即更新,瀏覽更精彩內容:https://bit.ly/3yLrgYZ