本地化資訊保安管理政策的制訂

　　配合高效率及高質素的法律、金融及物流系統，再加上「背靠祖國，面向世界」的有利市場條件，香港是極有潛質成為區內的電子商務中心。但現今猖獗的網上罪行，必會構成很大的障礙，所以本港的政商學界對此問題，都不容掉以輕心。

　　隨著資訊及通訊科技日新月異，全球互聯網應用越來越普及化，電子商務、電子政府等應用，已成為不少歐美國家的基本網上服務。在網絡世界中，所有應用系統的靈魂，是它背後所擁有的資訊。有專家認為「資訊是皇」（Information is King），任何人若能捷足先登獲取並適當地運用有利的資訊，便能傲視群雄，成為皇者，這論點尤其適用於商界。正因如此，資訊也不諱言地淪為商業社會中你爭我奪的肥豬肉。網上資訊的重要性及其帶來的商機，導致不少犯罪活動的衍生，例如非法下載、違反私隱權......等罪行。總言之，非法之徒為求達到目的，不惜不擇手段地闖進他人的電腦系統盜取機密。「身份偷竊」（Identity Theft）便是網上常見的罪行。

「身份偷竊」的殺傷力
　　身份證明資料遍佈大型商務機構，在沒有電腦輔助的時代，偷竊者可能要花上一整個週末才能盜取僅僅數千份個人資料而已；但估計，今天的黑客能透過互聯網輕而易舉地盜取數以萬計份資料。今年三月美國資訊科技雜誌廣泛報導的ＴＪＸ公司事件，便反映出「身份偷竊」的殺傷力。事緣美國上市公司ＴＪＸ被黑客入侵，導致四千五百七十萬張信用卡或扣賬卡的資料失竊。信用卡公司在無計可施之下，即時取消了所有懷疑受影響客戶的信用卡（約四千萬張），並盡快為他們重發新卡，以每張十五元美金成本作計算，公司估計此工程約需花費六億美元（約四十六億港元），就此卡公司正計劃向ＴＪＸ公司追討。而客戶也會因為個人資料被不法之徒持有，帶來諸多不便，例如在使用其他信用卡時，身份會被懷疑，使他即場感到尷尬。還有保險公司也會被牽連，而要為信用卡盜用的消費作出適當賠償。

　　據二零零七年五月十三日英國廣播公司科技版報導：以尼爾．普費斯（Niels Provos）為首的谷歌（Google）研究隊伍，對四百五十萬個網頁進行了抽絲剝繭的深入分析。結果發現其中四十五萬個隱藏含有惡意的程式，另外七十萬個能破壞入侵電腦。換句話說，十個網站便有兩個是危險的，問題確實令人擔心。常見的惡意程式，包括潛伏在伺服器核心的間諜軟件（Spyware）。這類軟件在用戶不在意之情況下盜取電腦內的資料，較嚴重的惡行包括以個人資料為目標的「身份盜竊」。由於現時Web 2.0應用系統大行其道，這情況便更容易發生。Web 2.0特色是以民為本及資源共享。舉例：一個典型的Web2.0網頁是以不同網上服務（Web Services）組成，比如一個網上銀行服務內利用了一個第三者開發的部件（如：貨幣轉換），但這部件可能已植入了間諜程式。再舉例：網誌（Blog）已是網民日常溝通的平台，不少網民也喜歡在自己的網誌中張貼曾到訪過的有趣網址，但這些網址多數未經檢驗，對方隨時在一點進網頁時便「中招」。早在Web 1.0時代，網民已飽受垃圾電郵的困擾，然而只要用戶可以理智地拒絕打開垃圾電郵，問題便可以避免。唯現時網上流氓在Web2.0所採用的「駛過下載」（Drive-by Download）手法十分厲害，把陷阱隱藏在Web2.0網頁內，使人防不勝防。他們經常設計不同極富吸引力的陷阱（如提供免費三級錄像），以請君入甕的手段進行惡意性破壞。

如何避免網上盜竊的發生？
　　現今市面上有不少針對網上盜竊的系統，它們的功能大致上可分為兩大類：防禦性及偵察性。前者例子包括：利用不同密碼來支持多階級登入（Multi-level Login），以防止非授權者擅自闖進公司的資訊系統；以數碼加密技術（Encryption）防止黑客閱覽機密資訊等。而後者例子有：以反間諜技術（Anti-spy）偵察已入侵的黑客；利用數據挖掘技術（Data Mining）從客戶使用記錄找出黑客的活動規律及範圍等。任何公司不論大小若有需要儲存機密資訊都應採用以上技術，並須經常作系統更新。但道高一尺，魔高一丈，相比之下，黑客入侵的科技往往都較為先進，它們大多都是直接針對著防禦系統的漏洞而設計。因此，純粹以科技徹底打退黑客、完全杜絕網上盜竊，是不設實際的做法。

　　要提高安全度，公司必須加強資訊保安管理（Information Security Management），才能進一步減低網上盜竊的風險。以國際標準為例（如ISO27001），它的設計是建基於「計劃︱執行︱檢查︱行動」（Plan-Do-Check-Act，ＰＤＣＡ）循環。這循環牽涉公司制定資訊保安政策，規定員工遵守，定期檢查政策的成效，並在有需要時調整現有政策。在檢查階段，更有大型公司為求中立，聘請顧問作獨立保安審核（Security Audit）。

　　現實中並沒有免費午餐，越是可靠的系統，便會越複雜、越昂貴。因此公司會針對保安審核所建議的調整，先作整體的風險評估（Risk Assessment），才作出是否實現的決定。在風險評估的過程中，公司設法估計若在實現調整建議的情況下可導致的損失。若所估計的損失是可以容忍的話，公司可考慮放棄建議，從以節省實現調整的費用。但歸根究底，問題是在誰來制定風險評估的尺度。自私、懶惰乃人之陋習，所以在在商言商的觀念下，很多商人都會優先考慮公司的經濟利益，而淡化資訊保安管理。若然他們把「身份偷竊」的問題避而不談，罔顧用戶的權利，一旦問題發生便為時已晚。問題發生而導致公司損失，這些自私的商人當然會自食惡果，但無辜的用戶卻要承擔這無罔之災。

結語及建議
　　香港網民人數眾多，據Internet World Stats二零零七年三月份的統計為四百八十八萬，滲透率佔人口比例的68.2%，為亞洲之冠。而網民人數的增長率驚人，自二零零零年已增長了113.7%。所以上述的問題與港人息息相關，不宜掉以輕心。以下筆者提出兩個建議：
（一）為減少上述的網上商務罪案，建議政府與業界緊密合作，盡快制定一套本地化的資訊保安管理的尺度及標準，並攜手並肩鼓勵所有牽涉敏感資訊的公司，根據這標準並因應資訊的敏感度，實施適當程度的資訊保安管理。政府更可考慮授與那些參與的公司不同等級的「Ｓ嘜」認可證明書，證明它們已達到一定的資訊保安水平。再者，政府可帶頭優先承認「Ｓ嘜」公司所提供的服務及產品。而日後當這「Ｓ嘜」被廣泛接受後，便能進一步提高國內外用戶對香港電子商務的信心，從而增加香港爭取成為區內電子商務中心的機會。

　　（二）「宜未雨而綢繆，無臨渴而挖井」。我們需要盡早了解網上惡行的趨勢，如入侵途徑和手法，以減少對普羅網民的傷害，從而也能促使執法者盡快把不良份子繩之於法。再進一步，所謂預防勝於治療，政府可考慮設立「互聯網社群關注小組」，邀請社會各界人士參與，尤其是福利界、教育界、傳媒界、科技界......等專家，以第一時間監察互聯網的動態，每當發現惡行的硫颸K即時向外公佈，並齊集各專家智慧，集思廣益，擬定對策及編寫用戶指引。