香港《個人資料（私隱）條例》早於 1996 年生效，是亞洲首個全面保障市民私隱的條例，我們，曾經很先進。「但那是二十年多前的事。其他後來者如日本、新加坡則與時並進，不斷修訂，而香港就原地踏步，猶如在用二十年前的電話，很落後。」莫乃光從事資訊科技及電訊業二十多年，見證業界發展，作為立法會議員， 開口埋口都是政策。「政府要改變做事方法，要知道今日的網絡世界如何，要更新政策，拖延下去絕非香港之福。」 香港，未 ready 「香港現在面對的網絡安全問題，基本上與全世界都一樣，其實重點是應對的準備是否足夠，而我覺得香港未足夠。」莫乃光所講的準備，是預防事故發生、準備程度、警力、法例、罰則等。「單是政策及法例，已經有很多需要改善的地方。現在很混亂，例如政府可以用那條法例檢控網絡入侵呢？《電訊條例》用過一兩次，檢控不法偷用電視機頂盒訊號；《截取通訊及監察條例》呢？只能用於本地執法部門，不適用於其他罪犯。再問下去，『不誠實取用電腦』又範圍太闊，實際拘捕最多的可能是偷拍裙底的罪犯。」莫乃光指出，香港現行法例並沒有一條具針對性。檢控方面未完善，至於阻嚇及預防方面，亦有不足。 條例修訂困難重重 私隱條例訂立至今未有大改，原地踏步，尤其對照歐盟 GDPR 更見分野。「GDPR 對個人資料有新定義，香港的定義仍然沿用二十年前的；GDPR 罰則嚴厲，可達公司全年收入的 4%，具阻嚇作用。另外，香港私隱專員的權力、檢控權都很薄弱，都必須檢討。」可喜的是自從國泰等事故之後，政府承諾會在第一季檢討相關政策，研究修訂條例。「不過，過程亦困難重重，凡是會提高成本的條例，商界很多時就本能地反對。而似乎政府害怕商界的反對聲音，多於緊張對市民或消費者的保護。」以往不少條例如商品說明、競爭法等的推動都停滯不前，比其他地方明顯特別落後，是有其原因的。 莫乃光，資訊科技界立法會議員。 政府要支援企業 莫乃光認為政府應該做的另一樣事情，是對企業的支援。「政府投放於創科的金額可以過千億，但沒有任何資助用在網絡安全上。中小企雖然可以申請科技劵，但資助用於改善系統以增強競爭力，就沒有資源做好網絡保安，所以政府應該開出特定的金額，幫助他們做好網絡保安的工作。」莫乃光對政府的評價也並非全盤負面，對警察的執法能力就相當肯定。 支持警方擴軍，籲增透明度 「我覺得警方具備了足夠的能力應對網絡罪案，警方特別擴充部門，成立網絡安全及科技罪案調查科，人手亦每年遞增，我絕對支持。」近年網絡罪案數字不斷上升，加強警力非常合理。「我相信罪犯都明白，今時今日在網上犯案搵錢很容易，風險亦較低。唔通仲揸支槍去打劫？」莫乃光認為唯一的不足，是部門的透明度很低。「其實我沒有足夠資料去討論細節，因為透明度很低。我認為警方可以多與業界及專家交流，讓大眾對警方更有信心。」 網絡安全立法有其利弊…

大量安全監控只得到一大堆 alerts 傳統 IT Security 防護的處理方法，主要偏重在事前的預防。從近年發生的各式安全事故來看，企業也逐漸意識到，光是事前的預防，已經不足以阻擋各式各樣的網絡安全威脅。即使企業投放大量資源去設立不同形式的安全監控， 往往只得到一大堆 security alerts， 不但數量繁多，alert 的內容也不易理解和處理。 若不幸碰到事故，要找出根源（包括：還原攻擊事件的原貌，以及對事故的調查與分析），往往需要高度專業人才來處理。在整個行業都缺乏IT Security人才的情況之下，實在令企業頭痛。 新型服務 — MDR 因此，近年冒起了新型的安全防禦服務，稱為 MDR (Managed Detection…

自「防火牆」面世至今的過去二十幾年裡，為了面對不同的網絡安全挑戰，市場也湧現很多不同的安全產品。有點像兵捉賊遊戲一樣，企業不停地修補漏洞，亦不斷地添置安全設備去加強防禦和監控。就算是大型企業，要投放大量資源去做好網絡安全，都會有點吃力。 安全服務供應商差異大 所以近年市場也興起把安全工作委託或外判給安全服務供應商，對於一些企業來說，也是一個選擇，但如何挑選合適的服務供應商仍是一個難題。首先，市場充斥著很多安全服務供應商（MSSP，Managed Security Service Provider），有本地 MSSP，也有外地 MSSP，其服務內容也林林總總，更有不同的 Service Level，價格也有很大差異。要認識清楚服務內容，實在不容易。再加上大部份 MSSP 所提供的服務範圍也處於前期階段，其質量和穩定性還需要時間來印證。 買車轉為 Call 車 由「產品」轉為「服務」是一個過程，也可以說是開闢了另外一個新市場。就如我們買車一樣：汽車是產品，汽車購買屬於一個市場，但需要接送服務的人，可以選擇 Call 車（像的士或 Uber）。用 Uber…

近年常常聽到「人工智能」一詞，好像潮語一樣，並代表著「高科技」的意思。一些產品含有自動調節功能，就以誇張宣傳手法說是「人工智能」，這根本不符合「人工智能」的定義。 「人工智能」已有幾十年歷史，早在八十年代初，電腦科學家便開始設計能學習和模仿人類行為的程式。在電影裏，如《Terminator》、《Matrix》或《Ex Machina》所描述的「人工智能」，都擁有觀察和感知能力，並可以做到推理和解決問題，這類可稱為「強」人工智能，但是現今技術水平仍未有效實現。 目前的科學研究工作都是集中在「弱」人工智能這部份，並取得重大突破。智能是從何而來呢？讓我們先理解「人工智能」、「機器學習」和「深度學習」的區別和關係。 「人工智能」的領域中，「機器學習」是其中一種方法；在「機器學習」的技術中，通過使用大量樣本作訓練而積累的智能，就稱為「深度學習」。 在使用電腦的過程中，大家會不知不覺地留下大量數據及電子足跡，這給予「深度學習」在訓練時所需之用；此外，系統運算速度的提升，令「機器學習」時間大大加快。綜合這兩個主要因素，終於令「機器學習」成熟起來，在「人工智能」的應用邁進了一大步。 同樣，近年一些高端網絡安全產品也採用「機器學習」去處理大量電腦使用者的日常行為，並作深入分析。即使黑客成功盜取了用戶的帳號及密碼，保安系統也會跟用戶日常使用方式作出對比，如發現有明顯偏差，就會發出警示或作出攔截。一幕幕兵賊鬥智（人工智能）的場面，已在網絡安全領域中展開。

以前網絡保安的工作範圍，主要是環繞著企業網關安全設備的管理，例如：防火牆、IPS、電郵病毒過濾等管理工作。因為傳統的企業網絡架構相對較為簡單，在網關設置防禦來管理企業員工的進出，這個方法行之有效。 再講番大約十年前，鑑於當時對雲端技術、流動設備的安全保護技術還不是太成熟，企業對相關技術採用還有很大的安全憂慮。當年更有安全設備廠商推出一些解決方案，去防止員工在企業環境內上網或使用即時通訊軟件，甚至發出干擾訊號去禁止員工使用流動上網。在現今新世代，若果使用這種方式的話，企業想請到員工都幾難。 近年由於雲端技術的成熟發展，很多企業為了加快營運效率，都轉用雲端服務。例如：雲端版本的 CRM 客戶管理、ERP 企業資源管理、文件傳輸等系統，方便員工在不同地域和時間上班。這個數碼轉型同時把企業的重要數據資料都上載雲端儲存，再加上現今流動設備的普及應用，員工很容易在辦公室以外地方利用自己的智能電話和手提電腦下載雲端上的公司資料，增加了公司資料外洩的機會。 雲端技術和流動設備的廣泛採用，改變了傳統網絡保安的覆蓋範圍。除了網關上的保護外，企業亦加強對雲端及端點（即 Endpoint，包括：手提電腦和流動設備）的資料加密、系統使用的行為監控及多層安全保護。隨著大家對安全意識的提升，行業對安全法規的落實，企業投放在安全的資源也以倍數增加，令到網絡保安的市場也加速擴大。

傳統的網絡保安業，美國已壟斷了一段日子。主要原因是美國擁有強大的軍事資源，把軍用的技術慢慢發展成民用的網絡保安技術，例如 GPS 全球定位技術最初亦是軍事用途。 以色列也是軍事強國，再加上地緣政治原因，所以在網絡保安這個領域亦大力發展，也佔了一定的市場份額。至於俄羅斯和英國，在網絡保安市場中也有點成績。 要發展網絡保安產業，其實有個重要元素， 就是需要國家的支持。中國近年也視網絡保安為國家重要的發展項目，大力支持國有化的產品，網絡保安產品和技術已經大大提升。有很多國內的網絡保安品牌一點都不比國際品牌遜色，一些新的安全技術更達到世界領先的水平。 美國又怎可能沒留意到中國開始發力呢？所以對中國的安全技術進行打壓，亦不希望中國的網絡保安產品打入國際市場，在貿易上加強國家保護，中美現處於貿易冷戰時期。 作為投資者，大家可以留意一下中國的網絡保安技術公司，前景仍然是十分樂觀，關鍵在於中國能否打破這個貿易壁壘，開拓海外市場，在國際市場爭取一席位，說不定很快有另一家阿里巴巴或騰訊出現！

隨便買部 IoT 產品嚟用係非常之危險嘅一件事，相信睇得我哋嘅讀者都唔會懷疑。就算係 Amazon 旗下嘅產品，都一樣會出事，上個月中 Amazon 用十億美元收購返嚟嘅智能監視鏡頭 Ring，就發生大量鏡頭被 hack 事件，有用家仲告上法庭，怒指 Ring 無做好網絡安全工作，Ring 就反駁話用家唔用強密碼先係主因，咁到底係邊個錯呢？ 喺上月中，陸陸續續有 Ring 用家嘅監視鏡頭被黑客入侵，有美國用家更因為呢件事，嚇到要放支鎗喺床頭先敢瞓。其中一個受害者 John Baker Orange 就聯同其他同路人告上法庭，指責…

剛在去年被英、美等多國執法部門聯手「打臉」的勒索軟件集團 LockBit，近日再陷醜聞。有網絡安全專家發現，其暗網聯繫網頁遭不知名黑客入侵，並被留下挑釁訊息與一條包含大量機密資料的壓縮檔案「paneldb_dump.zip」的下載連結。這已是 LockBit 連續兩年發生數據外洩事件，對其「商譽」構成重大打擊。若想翻身，睇怕都要改名假扮新集團重新出發。 想知最新科技新聞？立即免費訂閱！ 談判記錄被公開 經專家下載及細閱這個壓縮檔案的內容後，發現內裏有 20 個數據表，其中最引人注目的部分莫過於一個名為 chats 的文件，內裏包含由 2024 年 12 月 19 日至 2025 年 4…

《保護關鍵基礎設施（電腦系統）條例》上月獲三讀通過，目標於來年正式生效，尚有僅八個月時間，相信營運者（Critical Infrastructure Operator, CIO）正密鑼緊鼓為條例做足準備。到底 CIO 在準備階段時， 最關注的問題是甚麼？應如何解決？香港電訊（HKT）一一為你解答。 受《保護關鍵基礎設施（電腦系統）條例》（下稱條例）監管的營運者覆蓋八大範疇，包括能源、交通、通訊等行業。《條例》分為三大類責任，當中以「事故通報及應對」——尤其是通報時間、電腦系統安全演習及制定應急計劃，最受 CIO 們關注。 通報時間爭分奪秒　CIO 需加強應變能力 根據警方數字，過去數年本港的科技罪案一直有增無減，至去年終放緩，反映企業投放了一定資源，致力保障網絡安全。在即將來臨的新法例下，企業（尤其是 CIO）所投放的資源或需更多。例如《條例》下關鍵電腦系統嚴重事故的通報時間為 12 小時內，而其他事故通報時間則為 48 小時內，通報時間絕對是爭分奪秒，到底 IT 部門「應對」是否夠快，便成為一大關鍵。…

人工智能（AI）技術的迅速發展為企業帶來了無限潛力，但同時也揭示了潛藏的安全風險及法律責任。為應對這些挑戰，中信國際電訊 CPC（以下簡稱 CPC）與 Fortinet 早前聯合舉辦了一場名為 「DeepSeek Sparks AI Revolution:Balancing AI Opportunity and Protection in GenAI」的研討會，邀請了來自法律界及網絡安全領域的專家，針對最新的 AI 法規趨勢及安全挑戰進行深入探討，並與業界分享實際應對的建議，幫助企業能夠提前部署，安心享受 AI 應用帶來的優勢。 許杜岑律師事務所高級合夥人…