嚴重的企業網絡安全事故，可能源自內部人員👥，所以在機構當中培養出網絡安全文化，令員工成為 Human Firewall🧱實在非常重要。

今次午餐會🍲，將協助你了解網絡安全意識培訓平台，如何有效🔝提升員工的相關安全意識；同時學懂簡化企業的特權存取策略🙋、了解最佳實踐，以保護🛡️企業的敏感資產。

立即報名

作為本港第一條網絡安全法例，《保護關鍵基礎設施（電腦系統）條例草案》（下稱條例）如箭在弦。在這條例下，關鍵基礎設施營運者到底有何需注意？有何權利和責任？會否誤墮法網？本地解決方案分銷商 Edvance Technology（下稱 edvance）牽頭舉辦「Cybersecurity Lunch & Learn」活動，邀請法律及 IT 界專家齊齊教路，獲半百客戶踴躍支持。

分享環節由來自 A&O Shearman 律師事務所的執業律師 Anna Gamvros 打響頭炮。Anna 為客戶提供資料保護及網絡安全方面諮詢服務超過 20 年，資歷豐富，她指出條例所針對的是系統的安全而非個人資料，與《個人資料（私隱）條例》不同，對於不少公司的內部團隊來說，條例可算是相當陌生。

不同意成 CIO 可上訴

正如早前政府所言，關鍵基礎設施營運者（簡稱 CIO）名單不會公開，Anna 指出相關機構會得悉被「點名」成 CIO，然而，並非旗下所有電腦系統都屬於「關鍵電腦系統」（簡稱 CCS）。新設立的關鍵基礎設施（電腦系統安全）專員及專責辦公室，將考慮該系統在關鍵基礎設施（CI）核心功能方面的作用、核心功能中斷時所帶來的影響，以及營運商對系統的依賴程度等，判斷是否將系統指定為 CCS。

此外，如果不同意被「點名」成 CIO 或某系統成為 CCS，相關機構亦可向上訴委員會提出上訴，要求進行審核。

監管機構可申請手令調查

根據條例，相關機構的責任將分為三大類：架構、預防、事故報告及回應。Anna 表示鑑於某些行業本身已設有監管機構，例如法例指定通訊及廣播業由通訊事務管理局監管，金融服務業由金管局監管等，因此這類監管機構將負責監督「架構」及「預防」的責任。

至於新成立的專責辦公室，具有調查權，即使 CIO 不願合作，專責辦公室可要求營運商採取特定的補救措施，甚至在嚴重的事件上向裁判法院申請手令，以進入 CIO 處所調查，連接設備或在關鍵電腦系統上安裝程式。Anna 建議 CIO 可透過與供應商簽訂合約，確保雙方知悉供應商之行動會對 CIO 造成影響；並考慮在合約中賦予 CIO 存取權限，當進行調查時可從供應商手中取得資訊。

她強調，最重要的一點是條例並無追溯規定，一旦法例開始實施，被「點名」的機構便需在指定期限後開始遵守法規，故她鼓勵客戶應在此時評估自己會否成為 CIO，開始執行條例所要求的網絡安全協定，並檢討是否需要增加相關預算等，為未來網絡安全好好作規劃。

活動更邀請了領先的網絡安全解決方案供應商，包括 Fortinet、SecurityScorecard、tenable 及 Thales 的 IT 專家，分享他們所提供的解決方案，如何協助客戶應對相關條例。

下半場的專題討論，以「如何能提高本地營運關鍵基礎設施的安全措施之效率」為題，由 edvance 的 Technical Sales Manager 吳家駿任主持人，與 A&O Shearman 律師事務所 Senior Associate Ruby Kwok、獨立顧問 Ricky Cho、港深創新及科技園 Associate Director Franky Lam，共同探討機構在條例實施前需注意的事項。

Ruby 表示，留意到法案委員會討論時，保安局將會在《實務守則》包括更多細節，例如 CI 有何重大改變時需要上報，電腦系統安全管理計劃內容，以及通過例子說明有關通報網絡事故涵蓋範圍等，相信屆時亦會有指引協助 CIO 如何揀選第三方服務提供商。

至於曾擔任零售銀行 IT 基礎設施及安全部主管的 Ricky，具備豐富安全合規經驗，他向在場人士分享其最佳實踐方法，包括進行風險評估、安排人手、制定響應計劃（如 Playbook）、定時演練等。Ricky 提醒機構需「know your partner, know your vendor」，對合作伙伴進行評估，確保符合機構的規則及標準，「監管機構唔管 Partner，萬一佢出事，責任係去返 CIO」。而身為 End User 代表的 Franky，認為如機構採用設計及實施新的系統時，無論是應用程式或基礎建設，都必須要「Security by design」，於構建系統時必需要將網絡安全合規性及標準的因素考慮在內。

雲端解決方案供應商 Oracle 疑似發生大規模數據外洩事件，一名自稱「rose87168」的黑客在地下討論區 BreachForums 上聲稱成功入侵 Oracle Cloud 的 SSO（單一登入）及 LDAP 伺服器，並竊取多達 600 萬條數據，約涉及超過 14 萬用戶的敏感資訊，現正將這些資料出售。不過，Oracle 方面就迅速發表聲明，否認其雲端服務出現數據外洩。真相是？

出售數據包括零日漏洞

根據 rose87168 在討論區上的帖文可見，這次被出售的數據包括加密的 SSO 密碼、Java Keystore 文件、密鑰檔案及企業管理 JPS 密鑰等。對方更以出售數據或公開 Oracle 系統中的零日漏洞（Zero-Day Exploit）為條件，威脅對方支付贖金。對方還表示所竊取的 SSO 密碼及 LDAP 密碼仍在加密狀態，鼓勵其他黑客協助解密。

面對 rose87168 的「證據」，Oracle 第一時間否認其雲端服務存在數據外洩漏洞，又明確回應指 Oracle Cloud 並未遭到入侵，也沒有任何客戶的數據遭到洩露，而黑客所展示的憑證與 Oracle Cloud 無關，但就未作出具體解釋。

雖然 Oracle 否認了數據外洩，但業內人士估計，rose87168 可能利用了 Oracle Fusion Middleware 中的一個已知漏洞（CVE-2021-35587）發動攻擊，它曾於 2022 年被 CISA 列入已知漏洞清單，可允許未經身份驗證的人通過 HTTP 存取伺服器，繼而完全控制受影響的 Oracle Access Manager 系統。

外媒確認外洩資料屬實

事件曝光後，有外媒從黑客手中取得更多外洩資料的樣本，並聯繫了相關企業，確認外洩資料屬實；而在黑客聲稱與 Oracle 聯絡的電郵中，黑客指出是從 Oracle 的雲端 Dashborad 基礎設施發現漏洞，繼而取得 600 萬條數據。

此外， 網絡安全公司 CloudSEK 也發現了一個 Archive.org URL，顯示截至 2025 年 2 月 17 日，「login.us2.oraclecloud.com」伺服器正在執行 Oracle Fusion Middleware 11g。在懷疑入侵的消息曝光後，Oracle 已將該伺服器下架。

外媒揭發更多資訊後，曾再次聯絡 Oracle，惟對方未有任何回應。

資料來源：https://www.bleepingcomputer.com/news/security/oracle-denies-data-breach-after-hacker-claims-theft-of-6-million-data-records/

https://www.bleepingcomputer.com/news/security/oracle-customers-confirm-data-stolen-in-alleged-cloud-breach-is-valid/