lego logo
立法會質詢:政府部門、公營機構及工務工程相關機構的資訊保安情況
2017-06-06

以下為今日(五月三十一日)在立法會會議上莫乃光議員的提問和創新及科技局局長楊偉雄的書面答覆:

問題:

今年三月,一間受聘於港珠澳大橋相關工程項目的顧問公司的電腦系統遭勒索軟件攻擊,令大量檔案遭加密鎖上。此外,一個針對攻擊舊版本微軟視窗作業系統的勒索軟件WannaCry於本月初肆虐全球,香港亦有不少用戶受到影響。就政府部門、公營機構及工務工程相關機構(即工程承建商、顧問公司及物料供應商)的資訊保安情況,政府可否告知本會:

(一)當局去年分別接獲多少宗(i)政府部門、(ii)工務工程相關機構及(iii)公營機構的電腦系統及資訊保安事故報告;當中涉及勒索軟件的宗數及其引致的金錢損失(如有);這三類機構就電腦系統及資訊保安事故作出通報的機制及須採取的應變措施分別為何;

(二)是否知悉,上述顧問公司遭勒索軟件入侵後採取了甚麼應變措施;該公司向政府通報此事故的過程是否符合既定程序及其詳情;該公司被鎖上的檔案包含的資料類別及數量,以及有否檔案最終被刪除;如有,被刪除的檔案包含的資料類別及數量為何,以及這些檔案有否備份;該事故有否引致政府及該公司金錢損失;

(三)政府與上述顧問公司簽訂的合約有否訂明電腦系統及資訊保安要求(例如必須安裝及定期更新電腦保安軟件);如有,詳情為何;如否,政府有否在事故發生後向該公司發出電腦系統及資訊保安指引,以及有否要求該公司安裝或更新反惡性程式碼軟件及防火牆軟件;

(四)政府有否就工務工程相關機構及公營機構所採用的電腦及資訊保安系統和防毒軟件制訂統一規定;如有,詳情為何,包括:(i)該等規定有否包括須適時更新電腦系統及資訊保安軟件及硬件,以及(ii)政府與工務工程相關機構簽訂的合約和向公營機構發出的指引有否包含該等規定;

(五)在發生上述顧問公司的電腦系統遭勒索軟件入侵的事故後,政府有否對工務工程相關機構的電腦系統及資訊保安風險進行評估和訂定第三方審計安排;如有,詳情為何;如否,會否立即進行;

(六)各政府部門現正使用的電腦當中,分別有多少部及百分比採用下列版本的微軟視窗作業系統:(i)視窗10並含最新免費防毒軟件但未有開啟系統的更新功能、(ii)視窗‍7及未有安裝可供下載的修補漏洞的更新程式KB4012215、(iii)其他舊版本(包括視窗XP、視窗8和視窗伺服器2003(請詳列有關版本));

(七)政府部門現正使用的離線作業電腦的數目及所使用的作業平台名稱和版本;

(八)有否制訂內部指引,規定各部門定期更新電腦軟件及硬件,以及有否計劃更新已過時的電腦作業系統;如‍有,詳情為何;如否,原因為何;及

(九)針對WannaCry勒索軟件的威脅,政府至今已採取哪些防範電腦系統及資訊保安事故的措施;會否重新評估政府應付各類電腦系統及資訊保安事故的能力,並協助私營企業及公營機構加強資訊保安事故的防範能力?

答覆:

政府資訊科技總監辦公室(資科辦)一直密切監察政府網絡系統的日常運作,以監測、偵察及堵截電腦網絡可能受到的惡意攻擊。資科辦亦制訂了《政府資訊科技保安政策及指引》(《政策及指引》),要求各局和部門遵行。在有需要時,資科辦會即時向各局和部門提供技術支援及建議防範措施,例如更新作業系統軟件和加強備份電腦資料,以提高各局和部門預防惡意程式的能力。

就問題的各個部分,經諮詢相關政策局後,現回覆如下:

(一)各局和部門在發生資訊保安事故時,須遵行《政策及指引》內有關保安事故管理的規定,向政府資訊保安事故應變辦事處通報,並作出適當應變措施,包括界定事故類別、評估事故範圍、破壞及影響、遏止破壞及修正問題等。各局和部門使用外判服務時,亦須根據《政策及指引》,制訂適用於外判服務供應商的資訊保安措施和要求。外聘服務供應商(包括工務工程相關機構)如發生資訊保安事故,須向相關局和部門通報,並根據有關的資訊保安措施和要求作出適當應變。我們亦把《政策及指引》發放給公營機構參考,以便他們根據本身的資訊科技保安政策和業務需求採取適當的應變措施。

二○一六至一七年度,政府資訊保安事故應變辦事處共接獲22宗涉及政府部門的資訊保安事故報告,當中有11宗涉及電腦勒索軟件。在所有事故中,政府並沒有任何金錢損失。資科辦並沒有有關工務工程相關機構及公營機構的資訊保安事故的數據。

(二)根據運輸及房屋局提供的資料,路政署於二○一七年三月二日接獲其所聘用、負責監督香港接線工程合約編號HY/2011/09(即港珠澳大橋香港接線-香港特別行政區邊界至觀景山段)的顧問公司的駐工地工程人員通知,其工地辦公室內的伺服器遭勒索軟件攻擊,伺服器內的部分檔案遭加密勒索。駐工地工程人員已即時切斷該伺服器的網絡連線,並向警務處求助。據顧問公司提交予路政署的資料,受加密勒索的檔案主要為駐工地工程人員與日常監督工作相關的檔案,並不是機密檔案,亦不載有個人資料。顧問公司已通過例行備份的資料,恢復被加密的檔案。事件沒有影響駐工地工程人員的日常監督工作,亦沒有影響該合約的工程進度。顧問公司和承建商均沒有向黑客繳交贖金。

(三)運輸及房屋局表示,香港接線工程合約編號HY/2011/09內有列明根據發展局及資科辦的資訊保安要求,承建商必須於駐工地工程人員的辦公室內的電腦安裝並定期更新防電腦病毒軟件,及設定防火牆,以保護電腦資料。在事件發生後,路政署已要求所有駐工地工程人員及承建商立即加强其辦公室內電腦的網絡保安,提防類似事件再次發生。

(四)根據發展局提供的資料,政府部門需要在工程合約內,要求工務工程相關機構,根據政府資訊保安規格,在電腦資訊設備上裝置保安軟硬件,如防火牆及防毒軟件等,並要適時更新相關資訊保安軟硬件。至於公營機構,則可參考《政策及指引》,並根據本身的資訊科技保安政策和業務需求,自行制定適當的防禦措施。

(五)發展局表示,工務工程相關機構須根據合約內有關政府資訊保安規格的要求,適時更新相關資訊保安軟硬件,以應對新興保安威脅。相關機構要最少每兩年執行一次電腦系統及資訊保安風險評估,及由第三方進行獨立審計,確保保安軟硬件妥善更新。

(六)及(七)現時政府電腦使用微軟視窗的版本,包括視窗10、視窗8.1、視窗7、視窗Server 2008/2012/2016,以及小量視窗Vista、視窗XP等。離線作業電腦主要是裝置了視窗Vista及視窗XP。資科辦已敦促各局和部門,確保所有裝置了微軟視窗的電腦已安裝針對勒索軟件WannaCry的修補程式和其他的更新程式。

(八)《政策及指引》規定部門須適時利用最新保安修補程式及採取其他有效的保安措施,保護資訊系統免受已知保安漏洞的影響。資科辦亦發布了《軟件資產管理參考指引》及《軟件終止支援管理的實務指南》,供各局和部門參考及擬備升級或更換計劃。至於微軟視窗系統,政府已開展視窗7的升級工作,以期在微軟於二○二○年終止向該版本提供支援前完成。

(九)政府一直密切監察網絡攻擊的趨勢及有關的保安威脅。在政府內部,我們採用多層保安措施保障網絡安全,包括防火牆、入侵偵測及防禦系統、垃圾郵件過濾系統、防電腦病毒方案及實時監測工具等。

為防禦電腦勒索軟件WannaCry的威脅,資科辦多次向所有局和部門發出指示,包括須即時為重要的政府資料作備份和確保已安裝最新的保安更新程式。政府電腦保安事故協調中心亦與本地及其他地區的協調中心保持密切聯繫,通報網絡安全威脅的信息,增強預警能力。

面對日益增加和複雜的網絡保安威脅,政府會繼續加強應付資訊保安事故的能力。資科辦會適時檢討和更新《政策及指引》,現時的版本是在二○一六年年底,參照最新國際標準及業界良好作業模式作出更新,加強了各方面的資訊保安要求。

至於公眾和公私營機構方面,香港電腦保安事故協調中心會繼續發放資訊保安事故的消息和防禦及應變指引,並提供支援服務。該中心亦會繼續聯絡本地和外地的組織,收集和發放有關網絡威脅的訊息和預警。資科辦、香港電腦保安事故協調中心及警務處會繼續聯手應對網絡安全的威脅。

Office Of Hon. Charles Mok, Legislative Councillor (IT)