隨着科技發展瞬猛,數碼化時代雖便捷了生活,惟同時衍生安全隱患也日益加劇。
去年日本航空便一度發生「DDoS網絡攻擊」疑雲致售票系統癱瘓,有網絡安全專家猜測為商業惡意攻擊,甚至有可能作操作股價之嫌;另有英國工程公司的香港分部亦因網絡騙徒使用「Deepfake」技術,蒙騙到2,500萬美元的款項。事件敲起警號,警惕企業日新月異的科技的安全風險,需要時刻配上相對的安全防護、監察及更新,促成有效的網絡安全管治部署。
考慮到過往出現的網絡攻擊事件,香港保安局針對地建議就「關鍵基礎設施」包括香港必要的服務的基礎設施,如:能源、資訊科技、銀行及金融服務、陸上及航空交通、海運、醫療保險,以至通訊及傳播等領域或維持重要的社會和經濟活動的基礎設施(例如大型體育/表演場地、科研園區等),加入《加強保護關鍵基礎設施電腦系統安全》的立法與監管框架,目的是減低必要服務因網絡攻擊被擾亂或破壞的可能,從而提升香港整體的電腦系統安全,以及推動「關鍵基礎設施營運者」建立良好的防範管理體系,確保其電腦系統的安全運作,讓重要服務運作順暢,鞏固香港良好營商環境及國際金融中心地位。目前法案已於今年3月三讀通過正式實施。
更新法案 未完全涵蓋各界別
更新的法案目前雖未完全涵蓋各私人界別,惟其所訂立的加強的標準,同時值得關注及參考,在保安層面以外,商業敏感資料的網絡貯存方式,以至到地緣政治衝突加劇下,所選用的網絡系統供應商是否能在變化多端的政治環境中,繼續如常提供服務,還是需要及早構思風險應急方案,均決定了企業在經營可持續性上的高下分野。
而目前針對私人企業雖然有關於網絡安全的諮詢及資訊科技審計服務,惟普及度僅限於一些較大型的企業或是上市公司按審計要求提供,而一般而言都是針對軟件及數據保安層面。反之,硬件層面方面,隨着物聯網、機械人服務、數據驅幹(Digital Backbone)至電子屏幕及門鎖等開始廣泛地應用,特別常見於房地產及物業管理中,針對性的專業網絡安全諮詢及審計服務,由於軟硬件融為一體的特性,及涉及較複雜的項目管理,供應商談判以至到設施維護策略等,故市場上卻是寥寥可數。
然而,不能忽視是這些軟硬件融為一體的設施的網絡安全風險,同樣對於房地產資產表現及用戶選取傾向時,同樣具有依賴關係,例如受政府加強監管的行業如銀行、醫療保險等企業,在物色可供租賃物業時,均須就大廈及其設施的網絡安全水平作為關鍵的決定因素,故建議相關的物業營運商,協同ESG(環境、社會及管治)諮詢專業顧問及項目經理,超前部署,以保持房地產資產與時俱進,可持續經營的競爭力。
撰文 : 劉德安 高力亞州區ESG 諮詢服務董事
欄名 : 專家論市