網絡安全威脅日益嚴重,關鍵基礎設施如能源、金融和通訊系統更成為主要的攻擊目標,一旦被攻陷,可能對社會造成深遠影響。為提升香港整體的電腦系統安全及減低因網絡攻擊導致必要服務被干擾或破壞的可能性,香港特區政府於 2024 年提出《保護關鍵基礎設施(電腦系統)條例草案》。Fortinet 預視條例將為「關鍵基礎設施營運者」以至企業帶來技術及管理的雙重挑戰。同時,政府期望《條例草案》通盡快通過,若順利最快於 2026 年實施,相關機構應加快腳步做好準備。
隨著網絡攻擊的複雜度與頻率不斷增加,許多關鍵基礎設施的系統已成為攻擊者的主要目標。這些攻擊可能導致服務中斷、數據洩露甚至嚴重的經濟損失。因此,香港政府認為有必要透過立法,對本地「關鍵基礎設施營運者」提出明確的網絡安全要求,以確保系統具備足夠的抵禦能力。
條例對「關鍵基礎設施營運者」提出一系列具約束力的規定。這些規定包括設立專責的安全管理單位、識別和保護關鍵系統、強化事故應對能力、進行定期安全審核,並對內部員工及外部承辦商進行網絡安全培訓等。這些要求旨在通過技術與管理手段,建立一個更加穩固的網絡安全環境。
Fortinet 工具協助企業應付挑戰
Fortinet 就條例的內容為企業提供不同建議措施。該公司香港區總經理馮家健表示,《條例草案》要求營運者設立專責的安全管理單位,負責監控與管理網絡安全。這對於許多企業來說,可能是一項全新的挑戰。他指出,Fortinet 的 Security Fabric 安全織網平台能夠幫助企業實現集中化的網絡可視性與威脅監測,並提供實時的數據分析功能。通過整合 FortiManager 和 FortiAnalyzer,企業能夠快速識別安全風險,確保合規性與營運效率的雙重保障。
此外,條例要求營運者識別並保護其關鍵系統,並向監管機構提交相關資訊。這意味著企業需要全面了解其 IT 和 OT(運營技術)環境,並具備精細的控制能力。Fortinet 的 FortiGate 解決方案整合多種技術,包括 FortiSwitch 和 FortiGuard Labs,能夠幫助企業提升對核心資產的可視性。同時,FortiSIEM 提供自動化關鍵系統識別與監控功能,確保企業能迅速且準確地回應監管機構的需求。而 FortiPentest、FortiDAST 和 FortiTester 等工具能幫助企業定期評估其網絡安全狀況,並持續改進。
值得留意的是條例還特別強調提升事故應對能力的重要性,甚至列明嚴重事故通報時限為 12 小時,其他事故則為 48 小時。Fortinet 東南亞與香港資訊安全總監鄺偉基直言:「當有事故發生,要處理的事情很多,如果借用系統數據生成報告可避免一不小心過了通報時間而罰款。利用 FortiDeceptor 能主動捕獲攻擊者行為並阻止其進一步擴散; FortiSOAR 則通過自動化流程縮短事件回應時間,同時生成詳細的事件報告,幫助企業快速回應及滿足監管要求。」
在強化網絡安全框架方面,條例要求企業採取更嚴格的防禦措施,以防止未經授權的存取並減少風險。Fortinet 的 AI 驅動解決方案(如 FortiEDR 和 FortiNDR)利用人工智能技術進行實時威脅檢測與應對,幫助企業主動識別漏洞並降低風險暴露。
條例強調安全審核與人員培訓的重要性,Fortinet 的安全意識與培訓服務(SAT)結合國際標準與最新威脅情報,幫助企業提升員工和承辦商的網絡安全意識,從而減少人為錯誤的風險。
《條例草案》已進入審議階段,一旦實施無疑會對香港的「關鍵基礎設施營運者」帶來新挑戰,企業在應付法規挑戰的同時,也可視之為提升安全能力與競爭力的契機。