本地化资讯保安管理政策的制订

　　配合高效率及高质素的法律、金融及物流系统，再加上「背靠祖国，面向世界」的有利市场条件，香港是极有潜质成为区内的电子商务中心。但现今猖獗的网上罪行，必会构成很大的障碍，所以本港的政商学界对此问题，都不容掉以轻心。

　　随着资讯及通讯科技日新月异，全球互联网应用越来越普及化，电子商务、电子政府等应用，已成为不少欧美国家的基本网上服务。在网络世界中，所有应用系统的灵魂，是它背后所拥有的资讯。有专家认为「资讯是皇」（Information is King），任何人若能捷足先登获取并适当地运用有利的资讯，便能傲视群雄，成为皇者，这论点尤其适用于商界。正因如此，资讯也不讳言地沦为商业社会中你争我夺的肥猪肉。网上资讯的重要性及其带来的商机，导致不少犯罪活动的衍生，例如非法下载、违反私隐权......等罪行。总言之，非法之徒为求达到目的，不惜不择手段地闯进他人的电脑系统盗取机密。「身份偷窃」（Identity Theft）便是网上常见的罪行。

「身份偷窃」的杀伤力
　　身份证明资料遍布大型商务机构，在没有电脑辅助的时代，偷窃者可能要花上一整个周末才能盗取仅仅数千份个人资料而已；但估计，今天的黑客能透过互联网轻而易举地盗取数以万计份资料。今年三月美国资讯科技杂志广泛报导的ＴＪＸ公司事件，便反映出「身份偷窃」的杀伤力。事缘美国上市公司ＴＪＸ被黑客入侵，导致四千五百七十万张信用卡或扣账卡的资料失窃。信用卡公司在无计可施之下，即时取消了所有怀疑受影响客户的信用卡（约四千万张），并尽快为他们重发新卡，以每张十五元美金成本作计算，公司估计此工程约需花费六亿美元（约四十六亿港元），就此卡公司正计划向ＴＪＸ公司追讨。而客户也会因为个人资料被不法之徒持有，带来诸多不便，例如在使用其他信用卡时，身份会被怀疑，使他即场感到尴尬。还有保险公司也会被牵连，而要为信用卡盗用的消费作出适当赔偿。

　　据二零零七年五月十三日英国广播公司科技版报导：以尼尔．普费斯（Niels Provos）为首的谷歌（Google）研究队伍，对四百五十万个网页进行了抽丝剥茧的深入分析。结果发现其中四十五万个隐藏含有恶意的程式，另外七十万个能破坏入侵电脑。换句话说，十个网站便有两个是危险的，问题确实令人担心。常见的恶意程式，包括潜伏在伺服器核心的间谍软件（Spyware）。这类软件在用户不在意之情况下盗取电脑内的资料，较严重的恶行包括以个人资料为目标的「身份盗窃」。由于现时Web 2.0应用系统大行其道，这情况便更容易发生。Web 2.0特色是以民为本及资源共享。举例：一个典型的Web2.0网页是以不同网上服务（Web Services）组成，比如一个网上银行服务内利用了一个第三者开发的部件（如：货币转换），但这部件可能已植入了间谍程式。再举例：网志（Blog）已是网民日常沟通的平台，不少网民也喜欢在自己的网志中张贴曾到访过的有趣网址，但这些网址多数未经检验，对方随时在一点进网页时便「中招」。早在Web 1.0时代，网民已饱受垃圾电邮的困扰，然而只要用户可以理智地拒绝打开垃圾电邮，问题便可以避免。唯现时网上流氓在Web2.0所采用的「驶过下载」（Drive-by Download）手法十分厉害，把陷阱隐藏在Web2.0网页内，使人防不胜防。他们经常设计不同极富吸引力的陷阱（如提供免费三级录像），以请君入瓮的手段进行恶意性破坏。

如何避免网上盗窃的发生？
　　现今市面上有不少针对网上盗窃的系统，它们的功能大致上可分为两大类：防御性及侦察性。前者例子包括：利用不同密码来支持多阶级登入（Multi-level Login），以防止非授权者擅自闯进公司的资讯系统；以数码加密技术（Encryption）防止黑客阅览机密资讯等。而后者例子有：以反间谍技术（Anti-spy）侦察已入侵的黑客；利用数据挖掘技术（Data Mining）从客户使用记录找出黑客的活动规律及范围等。任何公司不论大小若有需要储存机密资讯都应采用以上技术，并须经常作系统更新。但道高一尺，魔高一丈，相比之下，黑客入侵的科技往往都较为先进，它们大多都是直接针对着防御系统的漏洞而设计。因此，纯粹以科技彻底打退黑客、完全杜绝网上盗窃，是不设实际的做法。

　　要提高安全度，公司必须加强资讯保安管理（Information Security Management），才能进一步减低网上盗窃的风险。以国际标准为例（如ISO27001），它的设计是建基于「计划│执行│检查│行动」（Plan-Do-Check-Act，ＰＤＣＡ）循环。这循环牵涉公司制定资讯保安政策，规定员工遵守，定期检查政策的成效，并在有需要时调整现有政策。在检查阶段，更有大型公司为求中立，聘请顾问作独立保安审核（Security Audit）。

　　现实中并没有免费午餐，越是可靠的系统，便会越复杂、越昂贵。因此公司会针对保安审核所建议的调整，先作整体的风险评估（Risk Assessment），才作出是否实现的决定。在风险评估的过程中，公司设法估计若在实现调整建议的情况下可导致的损失。若所估计的损失是可以容忍的话，公司可考虑放弃建议，从以节省实现调整的费用。但归根究底，问题是在谁来制定风险评估的尺度。自私、懒惰乃人之陋习，所以在在商言商的观念下，很多商人都会优先考虑公司的经济利益，而淡化资讯保安管理。若然他们把「身份偷窃」的问题避而不谈，罔顾用户的权利，一旦问题发生便为时已晚。问题发生而导致公司损失，这些自私的商人当然会自食恶果，但无辜的用户却要承担这无罔之灾。

结语及建议
　　香港网民人数众多，据Internet World Stats二零零七年三月份的统计为四百八十八万，渗透率占人口比例的68.2%，为亚洲之冠。而网民人数的增长率惊人，自二零零零年已增长了113.7%。所以上述的问题与港人息息相关，不宜掉以轻心。以下笔者提出两个建议：
（一）为减少上述的网上商务罪案，建议政府与业界紧密合作，尽快制定一套本地化的资讯保安管理的尺度及标准，并携手并肩鼓励所有牵涉敏感资讯的公司，根据这标准并因应资讯的敏感度，实施适当程度的资讯保安管理。政府更可考虑授与那些参与的公司不同等级的「Ｓ唛」认可证明书，证明它们已达到一定的资讯保安水平。再者，政府可带头优先承认「Ｓ唛」公司所提供的服务及产品。而日后当这「Ｓ唛」被广泛接受后，便能进一步提高国内外用户对香港电子商务的信心，从而增加香港争取成为区内电子商务中心的机会。

　　（二）「宜未雨而绸缪，无临渴而挖井」。我们需要尽早了解网上恶行的趋势，如入侵途径和手法，以减少对普罗网民的伤害，从而也能促使执法者尽快把不良份子绳之于法。再进一步，所谓预防胜于治疗，政府可考虑设立「互联网社群关注小组」，邀请社会各界人士参与，尤其是福利界、教育界、传媒界、科技界......等专家，以第一时间监察互联网的动态，每当发现恶行的硫颸K即时向外公布，并齐集各专家智慧，集思广益，拟定对策及编写用户指引。