本月澳門政府推出《網絡安全法》(下簡稱《網安法》)的公眾諮詢,引起關注。諮詢內容以「配合社會發展」為由,指出《網安法》能打擊網絡犯罪。雖然諮詢內容亦提到《網安法》將保障居民的私隱權利,但由於現時諮詢並未有太多具體內容,不少人憂慮法例最終變相規管澳門居民的網絡活動。
我們邀請了澳門資訊安全高級分析員S 先生解答以下提問,S先生所任職的公司亦屬諮詢文件中提及要監管的十一行業之一。
1. 澳門過去幾年有沒有被黑客攻擊的事故?業界覺得有沒有必要成立全天候監控數據流的機制?
澳門境內過去幾年,無論私人企業或是公眾,都沒有被黑客攻擊的個案(去年廣泛傳播的WannaCry之類的Ransomware屬於傳播式勒索軟件,不屬於針對式攻擊)。
而全天候監控數據流的機制,其實是沒有必要。因為要監控數據流的話,就必須把數據錄下來,打開查看。道理就像海關查郵包一樣,你不可能每個包裹都截下來打開詳細化驗吧。而且,全天候監控數據流對防止網路攻擊沒有幫助。
以下,我會列舉兩種常見的網絡攻擊:
a. 大型阻斷式網絡攻擊(DDOS)
因為如果真的有大型阻斷式網絡攻擊的話,所生產的數據量會多得不可想像。要錄下日常的網絡流量已經需要十分大的儲存空間,而且所需的人力絕對不少。如果有DDOS攻擊,網絡流量已經沒有被監控的可能了,只能丟棄。
b. 黑客入侵網站/私人網絡
如果發生這一類針對性網絡攻擊,災難應變小組(Incident Respond Team)主要會在被攻擊的伺服器取証。 當然,網絡設備亦是取証的來源。不過,我上面提到的,把所有數據包都記錄下來,是十分低效高成本的行為。
補充一下,如果真的有效監控網絡,應以關鍵字來做過濾,任何經過網絡的數據包一旦含有關鍵字(如「平反六四」),才會來引發警報。但若這樣,這便不只是一般網絡安全問題,而是像中國大陸的網絡內容審查了。
2. 目前有沒有法例可處理跟「網絡保安」相關的網絡事故?
最開始對網絡犯罪進行規範的是《澳門刑法典》第213條的「資訊詐騙罪」以及第187條「以資訊方式做出的侵入(私人生活)」兩項罪名。
然後於2009年制定了第11/2009 號法律《打擊電腦犯罪法》 但內容只包括進入計算機系統; 不當獲取、使用或提供計算機數據;不當截取計算機數據;損害計算機數據;干擾計算機系統。
我的看法是,以上法律其實只針對個人電腦的犯罪,未有涵蓋現代互聯網有關的犯罪。
3. 網安法對11個關鍵行業的影響最大,業界有沒提交甚麼意見?
業界大都是在了解階段,例如:
「收集其所監察的營運者網絡安全報告」, 到底安全報告要包括什麼?
「對負責人及其有關鍵職位的人員進行適當資格審查及專業經驗的背景審查」,到底是怎麼樣的資格?
我們事業者需要考取中華人民共和國工業和信息化部發出的認証嗎?
專業經驗的背景審查包括怎麼樣的?
背景審查? 需要証明自己愛國愛澳嗎?
這些都是作為資安從業者對網安法的疑惑
4. 當初訂定11個行業時有沒有諮詢?
訂定11個行業時沒有諮詢,網安法的出台是在2017年12月8日才突然公布。我們業界於是趕忙準備,在一星期後就要出席參加有關的諮詢會,實在有點急。
5. 科技界覺得甚麼機制較為合理?
作為資安從業者,我認為政府在諮詢文本中建議的網絡安全管理架構不但不能令網絡如他們所說:「三層次的監察系統有機運作,策略與執行無縫對接、上下貫通」。反而,此架構會構成阻礙。
在業界的角度看,制定政策和担任決策的,理應是熟識科技的。這樣才真的會令策略與執行無縫對接、上下貫通吧。看看美國,在2016年任命了首席信息安全官(CISO)擔任國家資訊安全要務,在其他地方亦有同樣的聲音,要求與私人企業看齊,設立首席信息安全官。
政府所謂的三層次的網絡安全管理架構, 各領域被監察的私人實體都被相關的公共機關所監察。同一個問題,相關的公共機關(如博彩業是由博監局監察) 擁有足夠的能力去監察、維護網絡安全,甚至幫助私人實體去防衛網絡攻擊,實施災難應變嗎?
為什麼不設立一個專業的部門統一去做?
6. 建議中的法例會否對相關行業造成經濟上的影響,尤其是賭業,媒體及ISP(如 sim card 實名)?
a. Sim Card實名
其實對賭業及ISP(Internet Service Provider,互聯網服務供應商)來說,實名與否,影響不大。因為現在的用戶在申請服務時,大多數有提供自己的身分證/護照副本。至於媒體,這很敏感。需知道媒體經常被監聽,如果實名制出台之後,當然會對媒體有一定影響。
b. 營運者需提交網絡安全報告
網絡安全報告有可能會包括商業機密,業界當然不想商業機密被外界知道(包括政府)。政府又是否容許業界提交一份隱藏敏感且重要資訊的報告?
c. 合作義務
諮詢文本中提及:
「1) 在審查程序性、預防性或應變性義務履行情況的必要範圍內,允許網絡安全事故預警及應急中心及監察實體指派的代表進入其設施, 讓該等人員進入其辦公地點,並提供該等人員職務範圍內所要求的資訊;
2) 提供必要的支援及合作,以確保網絡安全的妥善管理。」
「對於不遵守上述義務的行為,不論屬作為或 不作為,在不妨礙其他法律或法規追究刑事責任的情況下,均構成行政違 法行為,應科處罰款。輕微者,罰款澳門幣 5 萬元至 15 萬元。嚴重者, 罰款澳門幣 15 萬元至 500 萬元。」
如果企業受到網絡攻擊,第一時間應該是災難應變及復原。以博企為例,除了內部的資安人員之外,還會找專業的資安公司幫忙。政府雖然說司警及郵電司會負責「網絡安全事故預警及應急中心」 。不過, 專業的資安公司一來有最新最先進的工具與相關知識,再者,企業跟這些公司已經有簽定保密協議。作為企業,當然會選專業的資安公司作第一時間介入吧。問題來了,這樣做,政府會說你這企業不守義務要罰款嗎?
還有,如果政府要求將調查放在首位,完成調查後才繼續救援,那麼,系統停止運作的損失又有幾多?
7. 建議中的法例會否侵害個人私隱權及公民自由?
對公眾來說? 網安法應該會造成一定程度的寒蟬效應,因為實名制配合嚴格的控管(數據截取),不免令人擔心個人隱私權會被侵犯。再者,ISP其實一早已經有能力掌控我們日常網上活動,甚至抽取我們網上傳送的資料,在立網安法後,司警即可擁有隨時截取互聯網數據的權力,而且我們不能得知資料有否/何時被截取過,是否有侵犯個人私隱權及公民自由。
「越界華文答問」是文化及媒體教育基金的一個新項目,旨在讓不同華文地區向另外一個地區朋友發問,以達至澄清事實、消除成見及互相了解作用。我們正在搭建一個答問的網上平台,收集及發佈各類答問。