【獨媒報導】本港近日接連有公營機構發生網絡安全事件,繼數碼港電腦系統遭黑客入侵勒索,消委會本周同樣遭受黑客入侵勒索。政府資訊科技總監黃志光今午在政總見記者,稱政府高度關注有關網絡安全事件,並已主動聯絡兩間涉事機構提供技術支援。他又提到,攻擊在網絡世界很普遍,雖然間中有不同類型的攻擊企圖入侵政府系統,「但都係畀我哋啲防禦系統阻攔咗」,認為政府現時的保安措施是足夠及到位。

黃志光今日下午在政府總部見記者,譴責有關網絡罪行,又稱政府網絡系統特別設有中央管理及保護,但有關管理系統主要計對政府部門,未有包括消委會,資訊科亦已主動聯絡涉事機構,向他們提供技術支援。他又強調,公私營機構都有責任保護機構的網絡安全,如機構有需要可向資科辦的電腦保安事故協調中心尋求協助,並再次提醒公眾及業界做好網絡安全防護措施,尤其員工要留意來歷不明的網站及電郵。

政府由中央互聯網通訊集與外界互聯網接觸

黃志光及後講解政府現時的網絡安全工作。他指,大部分政府系統都由政府中央私有雲端平台管理,通過中央互聯網通訊集與外界互聯網接觸,當中包括多層防火牆、入侵偵測、應變系統,以及24小時網絡流量分析和警報等。而涉及政府內部資訊的系統與對外互聯網分隔,該系統亦有不同保安措施,不同數據會有不同層次的加密。

他指,中央互聯網通訊集會24小時監察網絡流量以及輸出和輸入的電郵,並會隔除惡意電郵。至於懷疑是網絡釣魚及欺詐電郵,系統會為電郵打標纖,讓員工提高警覺。

20230922 政府資訊科技總監會見傳媒

發生網絡保安事故時 政府部門需即時通報

制度方面,黃志光指政府有政策及指引要求部門嚴格遵守,包括所有電腦系統投入服務前及進行更新前,都需要進行審查 ;已運作兩至三年的系統,亦需要進行審查。他指,資科辦會定時與各政府進行審計,確保部門嚴格遵守規例。

此外,他稱已要求所有政府部門成立電腦保安事故應變小組,當發生電腦保安事故時,需即時通報資科辦的協調團隊,而團隊會按事故情況,要求部門向相關監察機構,如私隱員公署及警方網罪科通報,而資科辦會提供事故應變及復修工作。

另外,政府亦會加強政府員工的保安意識和技能培訓,如定期與警方網罪科進行演練,提高員工的應變反應及技術。資科辦亦會定時與國家及國際網絡安全機構保持聯繫,交換網絡安全資訊及技術情報。

20230922 政府資訊科技總監會見傳媒

數碼港及消委會不在政府系統內

在會上,有記者關注消委會是否受政府提及的中央系統保護。黃志光表示,政府網絡保安系統主要計對政府部門的系統,沒有包括一些私營及公營機構,又指涉事機構的保安系統與政府的系統有別,重申政府會向他們提供技術意見,又強調公私營機構都有責任保護機構的網絡安全。他指,機構有需要可向資科辦的電腦保安事故協調中心尋求協助。

黃志光重申,攻擊在網絡世界很普遍,黑客會攻擊保安較弱的機構。他透露,政府間中都有不同類型的攻擊企圖入侵政府系統,「但都係畀我哋啲防禦系統阻攔咗」,又稱「政府的保安措施是足夠及到位」。

20230922 政府資訊科技總監會見傳媒