數字辦下半年推演練 「白帽黑客」助堵漏洞
【明報專訊】由政府資訊科技總監辦公室及效率促進辦公室合併而成的數字政策辦公室(數字辦)上周四(25日)成立,數字政策專員黃志光昨在港台節目《星期六問責》表示,各政府有「第一線防禦責任」保護自己的系統,數字辦會有新措施為部門作第三方檢查漏洞,並於下半年籌備攻防演練,以「風險為本」邀請政府部門甚至公營機構參與,由「白帽子黑客」作滲透測試,助部門及早識別及堵塞漏洞。
推滲透測試 確保不礙操作
黃志光說,近年不論政府或私營機構都更多使用數字系統,以政府為例,不論是面向市民、業界或內部系統共有不下3000多個,每年都有逾200個作更新或推出新系統,部分出了問題,確需關注。數字辦成立後,黃稱除由部門履行防禦系統的責任,數字辦亦會在外圍監測,包括蒐集情報、了解新的攻擊手法等,若發現有針對某政府部門的攻擊,會盡快通知對方防範。
黃說,數字辦會籌備攻防演練邀請部門或公營機構參與,在特定時間及場地由「紅隊」嘗試攻擊及入侵系統,同時由「藍隊」助部門應對,以加強人員警覺及反應能力。他強調會全程記錄演練過程的動作,確保是獲授權及不會令系統受實質影響。
美國網絡安全公司CrowdStrike早前更新軟件出現「缺陷」,導致全球Windows系統現「藍屏」,影響各行各業包括本港機場。黃志光說事件對香港業界影響不算大,政府亦沒用受影響軟件,但事件反映機構或政府部門一定要有後備系統,不能太依賴單一系統提供服務;而每次更新系統要在受控環境做測試,確保任何改動不影響運作。