【及早準備】探討保護關鍵基礎設施立法影響　HKBNES倡提升網絡安全水平

立法會保安事務委員會今年七月推出討論文件，探討加強保護關鍵基礎設施電腦系統安全的建議立法框架，以維持我們生活息息相關的資訊系統、網絡或電腦系統能正常運作，避免遭受擾亂，妨礙社會安全。經營關鍵基礎設施的營運者，應如何為立法做好準備？中小企雖然暫時未受影響，但又可否未雨綢繆作好對網絡安全的規劃？wepro180 訪問了香港寬頻持股管理人及信息安全總裁鄧宏舜（Wilson），以及香港寬頻企業方案助理副總裁 – 銷售工程秦振皓（Alvin），了解法規影響及採用解決方案時需注意的地方等。

關鍵基礎設施包括八大行業

關鍵基礎設施（Critical Infrastructure）是指包括能源、資訊科技、銀行及金融服務、陸上交通、航空運輸、海運、醫療保健、通訊與廣播等領域，可以想像一旦以上的服務受影響，嚴重是可致社會停頓。

宜及早物色具合規能力供應商

現時關鍵基礎設施營運者（CIOs）所面對的最大挑戰，Wilson 認為是外部供應商如何讓服務符合法規，因為現時許多供應商的服務，仍未或暫欠上述能力，以致關鍵基礎設施營運者需及早準備，如開始物色足以勝任的供應商，協助並籌備服務。

而現時香港的資訊安全服務供應商，所面對的最大難題是人手，要留住員工就要多考慮改善工作條件，提供穩定工作環境，降低流失率。

不同行業應互相交流經驗

Wilson 又提到，新規例落實一般會有一年至一年半時間才正式實施，政府立法本意是提高網絡安全標準，企業在過程中宜與政府多作溝通；同時電訊、銀行業等，業內甚至是不同行業間都可多作經驗交流，借鏡與監管機構溝通的方法，向政府反映意見。

由於歐盟或國內早已有相關法例，他預料香港這項法規只是第一步，將會陸續有更多法規出台，保護數據及機器設施等。而關鍵基礎設施營運者可考慮採用一站式解決方案，有助減少漏洞，運作亦相對順暢；反之因為採用愈多不同的服務營辦商，就愈大機會有遺漏的地方。

一站式解決方案　全方位提升網安水平

在此層面上，HKBN Enterprise Solutions（HKBNES）提供全面一站式解決方案，保護各項重要服務的關鍵基礎設施，其內容包括零信任網絡存取（Zero Trust Network Access）、 網絡偵測與回應（Network Detection and Response）、權限存取管理（Priviledge Access Management, PAM）、漏洞評估及滲透測試（Vulnerability Assessment and Penetration Test）、事故回應（Incident Response），為企業做好全方位防禦。

Alvin 表示，HKBNES 的網絡安全保護方案符合如 NIST、金管局 C-RAF 等標準，無論是辨識、預防、偵測、回應，以及管理，都有完整配套實行多層防護，令整體網絡安全水平提升。

Alvin 舉例說明零信任網絡存取的運作，需要有網絡防火牆及權限管理，其控制水平非常嚴謹，僅容許用戶存取獲授權部分；另外 PAM、Monitor and Detection，甚至是年度 Security Assessment 等在法例上需要處理到的項目，HKBNES 方案也能應付這些需求。他又指出，關鍵基礎設施營運商雖然大多已配置多重網絡安全措施，不過亦可做好未來規劃及投資。

中小企可尋求第三方協助偵測攻擊

至於中小企方面，Alvin 留意到當中為數不少已設置防火牆，並有為電郵系統及終端設備做好防禦，但鑑於網絡安全人手不足，要如何在設置保護後做監控，甚至應對和阻止攻擊方面，他建議中小企可考慮尋求第三方服務供應商協助管理，而 HKBNES 方案亦可幫助他們滿足安全標準，提升日常營運中，監測與偵測攻擊的效率及表現。

如想了解更多詳情，可瀏覽以下網址：
https://bit.ly/HKBNES-CI-wepro180-12112024