正文

从香港网络安全立法看网络安全技术论坛2024,以及对甲方的网安教育

admin
admin V管理员 /0 评论 /42 阅读
1223
此篇文章发布距今已超过19天,您需要注意文章的内容或图片是否可用!
2024年度香港本地最后一场网络安全活动:香港网络安全技术论坛2024,在2024年12月19日全天于香港会展举办。
笔者经预约参加了本次论坛,除了见证香港网络安全专业协会的成立外,对本次论坛的最大感受在于:
无论是在哪里,面向甲方的网络安全教育,路还很长。
笔者:

国际注册信息系统审计师(CISA)

软考系统分析师

软件工程硕士

回到本文标题。在 2024年12月11日,香港网络安全立法进程走到了最后一步:《保护关键基础设施(电脑系统)条例草案》[1](以下简称“关基条例”)在香港立法会二读[2]。
和内地《网络安全法》等一系列法律法规、国家标准相比,关基条例适用的对象范围相对狭窄,责任要求相对简单,合规性和技术性也不直接。
一些具体区别包括:
1)对象范围方面
关基条例明确仅被指定的“关键基础设施营运者”和“关键电脑系统”才会受规管(监管),必须履行安全保障的责任。具体包括两大类即第一大类:在香港提供必要服务的基础设施和第二大类:其他维持重要的社会和经济活动的基础设施。其中,第一大类具体包含8个类别:

(a) 能源;(b) 資訊科技;(c) 銀行和金融服務;(d) 陸上交通;(e) 航空交通;(f) 海運;(g) 醫療保健;以及(h) 通訊和廣播。

第二大类没有细分类别,但从行文表述理解,诸如香港科技园、香港数码港这些公营机构以及大型文体场馆都会被纳入其中。不过,像沙田马场这种设施会否被纳入就值得关注。

需要注意,香港政府部门不在关基范围内,具体关键基础设施营运者的名单也不公开。
2)监管机构方面
成立隶属香港保安局的专责办公室执行工作,另外部分必要服务行业由行业机构承担指定的关基对象的规管工作,比如金融业由香港金融管理局负责监管等,形成按行业划分的两级监管模式。
3)法定责任方面
概括定义了架构、预防和事故通报应对三大类,包括运营管理、人员资质、预防控制、事件报告、应急缓解等,熟悉网络安全的读者对这些都不会感到陌生。
4)处罚方面
仅处罚到运营者机构,不直接处罚到个人。可以想象的是,被处罚的运营者必然会展开内部追责行动,但这总比个人要接受监管和运营两边同时受罚要好一些。需要注意,关基条例强调“尽职尽责”这个从审计角度其实很平常的要求,但对于不熟悉什么才是尽职尽责的内地网络安全从业人员来说,值得认真学习。
5)个人隐私方面
强调不涉及个人隐私。香港早已有个人资料私隐专员公署及相关法律保护个人隐私,不需要重复立法[4]。笔者之前也已经介绍过。
再说说本次网络安全技术论坛2024,本次论坛的具体议程见参考引用[5]。
笔者参会前对本次论坛内容还饶有兴趣,基于之前多次参与该类会议活动,尤其是之前技术气氛相当浓厚的香港网络安全峰会2024:,预期本次技术论坛能带给笔者更深刻的印象。
加上前述《关基条例》二读,虽然两者没有直接联系,但多少都会形成相互衬托的关系。
但本次技术论坛的性质,在笔者角度认为,其实只是一次网络安全的科普活动,事实上还成为了《关基条例》获得通过实施前的预热活动。
与会各位嘉宾所发表的演讲内容,以及专题讨论的对谈内容,性质上均属于入门级的内容,大致相当于右脚刚刚跨进门,左脚还在门外。
比如对刚刚完成不久的香港第一次网络安全攻防演练的成果分享,内容深度远不如内地省级网络安全攻防演练盘点总结会,只是讲解了一些基本规则、过程组织情况和整体结果数据。
反而是几个内地安全厂商的参会嘉宾发表的具体内容体现出专业水平,不过大致也只是入门后多走若干步,刚刚绕过屏风那种。
只是在笔者观察,由于其发表的专业内容与论坛内容基调存在相当大的反差,加上普通话演讲,本地观众都是一脸懵逼。
所以,对于笔者这种专业观众,本次参会就只能是看花絮的作用了。
花絮1:观众比较能坚持,热情较高。考虑到《关基条例》实施在即,必然的。
花絮2:观众年龄明显偏大,依笔者估计,无论是平均或中位数。
花絮3:虽然是入门级内容的 PPT,拍照的人不是一般的多,甚至有张张拍。
花絮4:厂商 PPT 上用了内地网络安全行业的“黑话”,比如HVV。观众懂?
花絮5:厂商 PPT 上对曾经出现漏洞利用情况的产品指名道姓。如果观众都是专业背景的倒没啥,但对于这样的观众实在不适宜,这样一传开那产品就不用卖了。
花絮6:会展的海景是的确好。
最后,为啥说,对甲方的网络安全教育路还很长?
虽然笔者这话可以是对网络安全行业甲乙双方的,但很显然,对甲方的网络安全教育,始终是由乙方来完成。
但即使在发达地区如香港,不少甲方(责任人)对网络安全的理解也只是入门水平,还很大程度上是因为立法的原因才开始严肃对待网络安全。那么乙方该如何针对性地做好甲方教育,才能提升安全行业整体尤其是内地安全厂商被认可?如何能通过对甲方的网络安全教育过程赢得客户信任?
乙方如果不做角色转换,不懂换位思考,不发掘真实需求,只是自顾自地侃侃而谈,无论是说管理还是说技术,都只是空谈。尤其是说网安技术......绝大部分甲方根本不关心什么渗透测试漏洞挖掘攻击面管理。
而且,在香港不懂粤语,如何做得好对甲方的安全教育,实现自身的推广?
参考引用:
[1] 立法会:保安局局长动议二读《保护关键基础设施(电脑系统)条例草案》发言全文
https://sc.isd.gov.hk/TuniS//www.info.gov.hk/gia/general/202412/11/P2024121100318.htm
[2] 香港《保护关键基础设施(电脑系统)条例草案》
https://www.elegislation.gov.hk/hk/2024/12/06/supp3/5!en?FUNCTION_ID=EDSS02
[3] 立法會保安事務委員會加強保護關鍵基礎設施電腦系統安全—建議立法框架
https://www.legco.gov.hk/yr2024/chinese/panels/se/papers/se20240702cb2-930-3-c.pdf
[4] 香港个人资料私隐专员公署网站
https://www.pcpd.org.hk/scindex.html
[5] 香港网络安全技术论坛2024议程
https://www.cybersechub.hk/sc/eventDetail/cybersecurity-symposium-2024

点赞和转发都是免费的↓ 

还可以看看这些内容:


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om