《保護關鍵基礎設施條例》明年實施　八類企業應盡快對應數據安全與量子電腦挑戰

香港特別行政區立法會早前通過《保護關鍵基礎設施（電腦系統）條例》（以下簡稱《條例》），並預計明年 1 月 1 日實施。《條例》重點要求八大行業的企業進行全面風險評估，以識別高風險區域並採取相應安全措施。針對關鍵基礎設施訂立保障條例，八個規管界別包括：能源、資訊科技、銀行和金融服務、交通、醫療保健、通訊及廣播等，以維持關鍵社會和經濟活動。

新例下這些機構企業營運者要遵守法定責任，分為三大類：架構、預防、事故報告及回應，當中又包括：設立電腦系統安全部門、報告關鍵電腦系統的重大變化、制定安全管理計劃和應急計劃，如至少每兩年參與一次安全演習。條例亦訂明，若營運者未履行法定責任，最高可罰款 500 萬元及每日額外罰款 5 萬至 10 萬元。

尋找專家團隊  預檢系統安全基礎合規

Thales 應用與數據安全業務區域銷售總監馬凱雯（Sabrina）指出，《條例》所涉八大行業並非所有電腦系統都屬「關鍵電腦系統」，由於條例針對公司作監管，因此條例生效前，企業需要指派內部團隊或外判專家對系統全面評估，列出高風險項目，並檢查及降低被黑客入侵風險，尤其需重視分散式阻斷服務（DDoS）攻擊的潛在威脅，以及數據安全的整體防護，確保數據得到妥善保護。

Sabrina 提到，目前政府籌劃中的專責辦公室將根據企業的設施核心功能、系統中斷時可能造成的影響，以及營運商對系統的依賴程度等因素，判斷是否將企業的系統指定為「關鍵電腦系統」。因此，對已具備基礎保安措施的企業，現階段只需進一步檢視並提升現有系統安全性。特別是針對關鍵基礎設施的網絡韌性和數據傳輸加密（如國際標準的 TLS/SSL 協議），以抵禦日益複雜的網絡攻擊。

她建議企業先尋找第三方具豐富國際合規經驗的系統安全專家，全面評估包括數據加密傳送、應用程式（APP）安全、資料庫防護，以及 DDoS 緩解方案等各層面的安全措施。同時，企業應規劃定期的安全演習與滲透測試，確保系統通過安全審核並符合規例要求，尤其是在面對針對性攻擊時能維持業務連續性。

AI及量子電腦  為數據加密帶來挑戰

Thales 應用與數據安全業務區域副總裁（大中華區及韓國）許樹懷（Wayne）指出，政府專責辦公室有一定靈活性保障公眾，但執行時間或較短促，對於企業而言盡早檢視系統規劃，可省卻日後合規時的額外成本。Wayne 還提醒說，不少黑客亦會趁機預先試探或入侵企業，盜取加密通訊數據，以便日後入侵，因此企業急需審查數據加密鎖匙管理系統（Key Management System）、演算法等，以防出現漏洞。

Wayne 直言 AI 及量子電腦爆發式普及，以往數據加密通訊也有可能一夕被破解，所以關鍵電腦系統企業，更應先行規劃加密鎖匙管理作防範策略，如部署後量子電腦加密（Post-Quantum Cryptography）風險管理工具，及早進行系統測試升級，以避免量子電腦及 AI 的技術更加成熟時出現數據洩露的風險。這不僅能增強客戶對企業信任，也有助提升企業在市場上競爭力。

隨著全球對數據安全重視程度不斷提高，企業應主動了解 AI 及量子電腦對安全的影響，以高於《條例》規範檢視系統，迎接 AI 與量子電腦時代帶來的挑戰。對高風險的八大行業，更應加快步伐制定完善安全、數據加密策略，確保在法例生效後能夠即時符合要求。這不僅是應對本地以至海外法規的必要舉措，也是為企業長遠發展投資的重要保障。

重溫《保護關鍵基礎設施條例》網絡研討會：https://tinyurl.com/yc6djkvp
下載 Thales 《香港保護關鍵基礎設施（電腦系統）條例電子書》：https://tinyurl.com/jsk8rnr9