科技新聞

    政府早前提出制定《保障關鍵基礎設施(電腦系統)條例草案》,就加強保護上述電腦系統安全建議立法框架進行諮詢,保安局表示共收到 53 份意見書,並稱因應業界建議,考慮放寬嚴重事故的通報時限,由原本建議的 2 小時改為 12 小時,預計條例將於 2026 年初生效。

    保安局在 7 月 2 日至 8 月 1 日諮詢期間,收到 53 份意見書,涉及 600 多項意見或建議,其中 47 份來自業界,均表示支持立法或提出正面建議,唯一持反對的是來自英國的人權組織。保安局發言人強調,條例並不牽涉自由或內容規管,亦不針對個人資料和商業機密。

    有業界指出發生嚴重事故後,或會忙於搶救,而難以做到在 2 小時內通報。保安局表示理解,經參考英國、歐盟等做法後,積極考慮放寬報告時限,嚴重事故由 2 小時改為 12 小時;其他事故則由 24 小時放寬至 48 小時內。發言人亦指,營運者可透過電郵或電話等方式通報,惟兩周內須再提交詳細事故報告。

    此外,條例通過一年內會成立專責辦公室,半年後條例生效,職能是調查針對電腦系統的攻擊,包括攻擊手法、受影響程度、被中斷的服務等。為確保有效及早應對事件,將積極考慮賦權專責辦公室,在系統可能受干擾、服務中斷時,可主動向營運者調查原因並提供協助。

    被問及市面上有部分機構,將電腦系統等關鍵基礎設施外判交由第三方服務提供者處理,發言人指外判工作不能外判責任,若外判商違法,營運者亦須負責。屆時將會有《實務守則》提供指引,供營運者在聘請第三方時作參考,以便釐定及履行合約。

    發言人重申,因涉及保安問題,政府不會公開名單,並已接觸受規管者。條例預計在 2025 年上半年於立法會通過,期望條例 2026 年初生效,又指生效初期將設適應期,希望毋須向營運者提出罰款。

    想 守 住 企 業 網 絡 安 全 防 線 ?

    網絡安全公司 Green Radar 推出雲端員工培訓平台,透過短片形式,由淺入深向員工講解網絡安全注意事項,更備有即時考核,評估員工學習進度及企業網絡安全風險。立即登記與專家聯絡: https://bit.ly/4dX1oO4

    Cybersecurity 已經成為企業不可或缺的一部分。保護企業的數碼資產和數據不僅是企業的責任,也是保護客戶利益和維護商業道德的必要措施。因此,企業應該重視 Cybersecurity,制定相應的策略和措施,以減少安全風險和保護企業的數碼資產。

    立即報名

    名師介紹:Kawa Lam

    Mr. Lam 為資深的網絡安全工程師,擁有超過九年網絡保安經驗,非常熟悉及擅長網絡保安範疇,曾為多間跨國公司負責不同範疇的網絡保安項目。

    Mr. Lam 積極參與不同的網絡保安研討會,更擔任不同院校之講師,擁有多年教學經驗,所教門生甚多,教授範圍覆蓋不同範疇包括:Network Security, Data Security, Cyber Security, Enterprise Security 及金融科技網絡保安等,除了教授不同的理論,更將業界之工作經驗與學生分享。

    數碼新時代來臨,API(應用程式介面)作為應用程式之間數據交換的主要渠道,使用量迅速增長,同時成為黑客主要攻擊目標。全球領先的雲端服務供應商 Akamai Technologies 亦預視到未來市場對 API 安全的需求,今年中以 4.5 億美元收購頂尖 API 安全公司 Noname Security。小編今次特意請來專家,詳細講解雙方整合至今,如何完善並擴充原有的產品功能及能力,為企業提供更安全可靠的 API 保護。

    一個月多達48億次API攻擊

    現時 API 在互聯網中廣泛被應用,物流快遞、網購、電子支付等平台都是常見的 API 應用例子。根據 Akamai Technologies(下稱 Akamai)的調查報告指出,API 攻擊每年增長 109%,而僅僅 2024 年 6 月就記錄了 48 億次攻擊。在 2023 年第一季度到 2024 年首季,香港亦遭受 15 億次 API 和 Web 應用程式的攻擊。API 作為目前數碼轉型的核心,負責傳輸重要敏感資料及數據,其安全性不容忽視。

    強強結合 打造更完善API安全方案

    Akamai 於去年收購 Neosec 後已初步完善了其 API Security 保護方案,為進一步加強對 API 的全面保護,Akamai 於 6 月再收購了 Noname Security(下稱 Noname),結合 Noname API Security 的技術,協助 Akamai 在 API 安全範疇上更上一層樓。

    Akamai Technologies大中華區產品市場經理劉炅(John)指出,Noname 一直專注研發 API 安全方案,其技術專業程度以及產品化能力無容置疑,是次收購更能補足 Akamai API Security 跨供應商之間的集成和部署選擇,提供更大的靈活性和支援,能夠在 API 整個生命週期中,提供全面的安全檢測,並降低產品上線後的風險,在發現影子 API、尋找敏感資料、偵測漏洞和攻擊等能力亦得以擴充。

    結合 Noname 的技術後,Akamai API Security 方案不僅提供靈活的部署選擇,不論雲端、在地、混合或是分散式環境都能全面覆蓋。此外,Noname 廣泛的第三方集成選擇亦幫助 Akamai API Security 無縫整合到客戶現有的產品服務當中,包括 AWS、Azure、CloudFlare、Kubernetes、Mulesoft、Oracle Cloud、F5 和 Palo Alto Networks 等平台,其集成選擇是現有 API Security 產品的 4 倍。

    Noname 為 Akamai API Security 提供更多檢測點,以更全面的視角探測企業網絡內,所有南北東西向的流量,加強發現影子 API。

    探查、測試、偵測及響應四大功能

    Akamai API Security 的安全管理流程分為探查(Discover)、測試(Testing)、偵測(Detection)和響應(Response)四個主要部分。

    從開發到生產的整個生命週期內,探查所有 API 並偵測休眠、舊版和殭屍 API,消除盲點並找出潛在的攻擊路徑,防止企業暴露安全風險之中;利用 API 安全性測試套件,自動執行超過 150 項模擬惡意流量的測試,包括 OWASP API 安全性十大威脅,在 API 上線之前發現漏洞,以降低被黑客攻擊的風險;在偵測方面,Akamai API Security 透過自動掃描基礎架構,找出錯誤配置和隱藏風險;更能即時偵測攻擊者和可疑行為、阻擋攻擊,在漏洞遭到利用前先行補救。

    Akamai API Security 的安全測試套件可以自動運行 150 多項模擬惡意流量測試,其中包括 OWASP API 安全十大威脅。

    滿足行業標準 全面保障API安全

    John 指出,API 不只是代表應用程式介面,而是企業的核心資產,當中包含數據安全問題,因此不同行業對 API 安全都有嚴格的法規要求,尤其金融行業對網上銀行交易轉賬的安全性要求更高。香港金融管理局(HKMA)在 2018 年亦制定銀行業 Open API 的框架,確保數據和交易的安全性。Akamai API Security 方案經整合後,符合 FFIEC、SOC、GDPR、HIPAA 和 PCI DSS 等針對不同地區及行業的標準,其安全性獲得認可,為客戶在不同領域上都有全面的保障。 大部分企業高度依賴於 API 的資料交互能力,特別是業務規模較大的企業,每月 API 請求數目有機會高達幾十億次。John 表示,當 API 架構漸趨複雜,卻沒有視覺化能力,很多隱藏 API 端點是整體業務的隱患。

    John 認為 API的安全建設和防護已經是企業安全架構中最重要一環,是企業最需要保護的資產之一。

    香港曾有知名二手買賣平台於系統遷移過程中出現保安漏洞,令 32 萬名本港用戶個人資料遭洩露。個人資料私隱專員公署調查後,認為該平台未有採取適當措施偵測異常模式或活動,亦未有配置用於偵測潛在惡意使用應用程式介面的活動的警報。由此可見,企業必須持續加強對 API 的監控與保護,才能有效降低資料外洩和安全事件的風險。

    事實上,Akamai 收購 Noname之前,客戶對 Akamai API Security 的需求增長率就已經高達 200%。大部分企業缺乏對 API 的安全弱點分析能力,John 表示,雖然企業都有使用不同的「手段」,如 WAF、API Gateway 以解決 API 安全問題,但企業網絡內東西南北向流量錯綜複雜,單靠 WAF 產品並未能防禦所有針對 API 的攻擊。Akamai API Security 方案則提供更全面的保護、更有深度的視野和分析能力,基於行為和邏輯檢測 API 濫用情況,有效保護企業的 API 免受攻擊威脅。

    政府早前提出制定《保障關鍵基礎設施(電腦系統)條例草案》,就加強保護上述電腦系統安全建議立法框架進行諮詢,保安局表示共收到 53 份意見書,並稱因應業界建議,考慮放寬嚴重事故的通報時限,由原本建議的 2 小時改為 12 小時,預計條例將於 2026 年初生效。

    保安局在 7 月 2 日至 8 月 1 日諮詢期間,收到 53 份意見書,涉及 600 多項意見或建議,其中 47 份來自業界,均表示支持立法或提出正面建議,唯一持反對的是來自英國的人權組織。保安局發言人強調,條例並不牽涉自由或內容規管,亦不針對個人資料和商業機密。

    有業界指出發生嚴重事故後,或會忙於搶救,而難以做到在 2 小時內通報。保安局表示理解,經參考英國、歐盟等做法後,積極考慮放寬報告時限,嚴重事故由 2 小時改為 12 小時;其他事故則由 24 小時放寬至 48 小時內。發言人亦指,營運者可透過電郵或電話等方式通報,惟兩周內須再提交詳細事故報告。

    此外,條例通過一年內會成立專責辦公室,半年後條例生效,職能是調查針對電腦系統的攻擊,包括攻擊手法、受影響程度、被中斷的服務等。為確保有效及早應對事件,將積極考慮賦權專責辦公室,在系統可能受干擾、服務中斷時,可主動向營運者調查原因並提供協助。

    被問及市面上有部分機構,將電腦系統等關鍵基礎設施外判交由第三方服務提供者處理,發言人指外判工作不能外判責任,若外判商違法,營運者亦須負責。屆時將會有《實務守則》提供指引,供營運者在聘請第三方時作參考,以便釐定及履行合約。

    發言人重申,因涉及保安問題,政府不會公開名單,並已接觸受規管者。條例預計在 2025 年上半年於立法會通過,期望條例 2026 年初生效,又指生效初期將設適應期,希望毋須向營運者提出罰款。

    想 守 住 企 業 網 絡 安 全 防 線 ?

    網絡安全公司 Green Radar 推出雲端員工培訓平台,透過短片形式,由淺入深向員工講解網絡安全注意事項,更備有即時考核,評估員工學習進度及企業網絡安全風險。立即登記與專家聯絡: https://bit.ly/4dX1oO4