• 2021.11.03
    星期三

安心遭質疑保安風險評估不足 政府:絕不認同

[2021.11.03] 發表

【明報專訊】「安心出行」程式近日增至600萬次下載,私隱保安成關注。政府委託獨立第三方為安心出行作保安風險評估及審計,資訊科技界組織「前線科技人員」昨日發文稱,承辦商只用幾套現成工具為程式測試及審核,質疑只能滿足資訊安全最低最求。有業界人士認為若政府日後強制市民使用程式,或程式與內地「健康碼」接軌並儲存更多個人私隱資料,必須加強風險評估。

資科辦稱承辦商有專業認證

政府資訊科技總監辦公室回覆稱,絕不認同有關團體的質疑,稱負責為程式作保安風險評估及審計的承辦商是「優質資訊科技專業服務常備承辦協議」下的合資格承辦商,承辦商人員持有合乎要求的資訊保安經驗和專業認證。

現成工具測試 業界:最低要求

安心出行網頁今年8月底上載保安風險評估及審計報告。「前線科技人員」昨在facebook表示,承辦商只用幾套現成工具包括OWASP ZAP、MobSF及Fortify Audit Workbench等測試及審核,質疑只滿足資訊安全最低最求。組織以Fortify Audit Workbench為例,稱它可找到「手板眼見」的編程漏洞,但對更高層次、涉整體系統架構的漏洞則無能為力。該組織稱,若安心出行只是普通程式,「或者都可以收貨」,但涉及700萬人私隱,如此程度的保安評估是遠遠不夠,建議政府開放源碼,參考科技公司設獎金獎勵發現漏洞的人,才能加強市民信心。

香港互聯網協會開放數據小組召集人黃浩華認為,上述工具應付到較基本要求,包括檢查軟件有否明顯程式設計錯誤,但如有用第三方程式庫協助開發程式,工具未必能全面找出漏洞。他說,安心出行雖沒要求輸入身分證等個人資料,但相信未來很大可能與內地健康碼接軌,並要求市民儲存更多個人資料,屆時以此保安風險評估並不足夠,須加強風險評估並有更詳細審計。

資科辦表示已公開安心出行技術規格,亦已就開放源碼課題詳細解釋,沒計劃進一步公開源碼。

(新冠疫情)

更多要聞
官認錯判8個月 外賣員襲警改囚4月 辯方指《警隊例》下襲警罪最高囚6月
【明報專訊】foodpanda外賣員今年1月在天水圍銀座外遇警方截查,銀包被搜出一張印有「光時」的卡紙,一度被指盜竊外賣袋被捕;他其後涉在警... 詳情
【明報專訊】執業大律師陸偉雄回覆本報查詢時稱,襲警罪可據《警隊條例》或《侵害人身罪條例》控告,視乎襲警情節、有否使用武器等,並稱「用得《警隊... 詳情
【明報專訊】前年7月28日上環暴動案獲判無罪的湯偉雄,和2016年旺角衝突中暴動罪成的盧建民,就《公安條例》下暴動及非法集結罪定義,上訴至終... 詳情
劉家衡助理涉襲擊 控方被質疑兩年未取事主口供
【明報專訊】長沙灣前區議員李文浩去年在辦事處外貼出「藍絲與狗不得內進」告示,有市民到場抗議。深水埗前區議員劉家衡的辦公室助理李譯喬涉襲擊兩女... 詳情
清潔工新巴廠內遭工程車撞斃
【明報專訊】昨日傍晚近6時,一名六旬新巴外判清潔女工在新巴位於柴灣創富道的車廠內,被一輛工程車撞到,送院後不治。工程車司機涉嫌危險駕駛導致他... 詳情

明報網站 · 版權所有 · 不得轉載
Copyright © 2021 mingpaocanada.com All rights reserved.
Ming Pao Daily News A wholly owned subsidiary of Ming Pao Enterprise Corporation Ltd.
Vancouver Chinese Newspaper

5368 Parkwood Place, Richmond B.C. V6V 2N1 | Tel.: (604) 231-8998 | Fax: (604) 231-9881/9884 | Advertising Hotline Tel.: (604) 231-8992