保障未來:香港CIO如何應對網絡安全危機
香港是一個依賴各種互聯系統來運作的數碼化城市,全新的《關鍵基礎設施 (電腦系統) 保護條例》針對現況應運而生,旨在支援金融、交通、電訊、醫療、能源等各行各業的機構應對日益嚴峻的網絡風險。根據香港網絡安全事故協調中心 (HKCERT) 的數字,在2025年1月至9月期間,香港共發生11,981宗網絡安全事件,較去年同期上升36%。
與此同時,新條例為企業帶來了戰略機遇,現在正是建立具韌性的數碼基礎,以應對未來威脅的理想時機。
構建網絡韌性的五大策略重點
對於資訊科技總監 (CIO) 而言,要想在這環境下取得成功,需要採取涵蓋以下五個關鍵領域的多維度策略:
- 無縫整合。CIO擁有獨特的職能和機遇,可以將傳統的營運技術 (OT) 系統與現代資訊科技 (IT) 系統結合,創建混合式 「OT-IT 」環境,在保持營運可用性 (Operational availability) 的同時,顯著提升安全性。根據香港警方統計[1],在2024年,香港九萬個關鍵基礎設施中,有5%存在系統漏洞,其中11%被列為關鍵或高風險漏洞,包括子網域有機會被騎劫和雲端儲存曝露。整合架構有助於消除這些安全盲點,同時為整個技術堆疊提供統一的安全監管。
- 迅速反應。構建全天候偵測和反應能力,可使機構在應對監管要求和新興威脅方面保持領先。自動化威脅偵測和全天候監控能力可以將這種弱點轉化為策略優勢,使偵測時間從數月縮短至數分鐘,並大幅加快反應速度。
- 自動化報告。自動化文件和報告功能不僅有助CIO滿足強制性的通報要求,還可讓他們實時了解安全狀況,從而作出更明智的業務決策。香港新頒布的《保護關鍵基礎設施條例》指定營運機構必須在 12 小時內通報嚴重的電腦系統安全事故,並在14天內提交全面的書面報告,而自動化功能就是滿足這些時限的關鍵。
- 人才策略。全球30%機構[2]表示欠缺安全人員、技能和經驗。中國香港網絡安全協會一份報告顯示,全港74%網絡安全專才認為本地人才儲備有限是一大障礙,其中52%受訪者表示人才對薪資期望過高[3]。日益嚴格的監管要求加劇了這些挑戰,而合規監控、供應鏈管理和事故通報的人才短缺問題也日益嚴峻。與其爭奪稀缺的網絡安全專家,頂尖的CIO開始選擇與安全託管服務供應商合作,投資提升現有團隊的技能,並且改善機構上下的安全意識。
- 卓越的生態系統:現代企業通過技術合作夥伴的複雜網絡運營,其中包括雲端服務供應商和服務供應商。根據SecurityScorecard的數據[4],2024年超過35%的安全漏洞與第三方存取有關,企業若能夠系統性地審查供應商、持續監控其安全狀況並建立清晰的事故回應協定,便可以顯著降低這方面的風險。事實上,若CIO選擇兼具卓越技術和可靠營運能力的供應商來積極構建協作式安全框架,便可以把供應商管理化為策略優勢。
更明智的方法:整合科技與託管服務
若把上述眾多優先事項獨立來看,像是排山倒海般令人難以招架,但我們可以透過統一的技術基礎設施將它們一併解決,當中的起點正是技術整合。這基礎設施將無縫連接OT和IT系統,並整合零信任網絡存取和AI驅動的安全功能,實現統一的運算、儲存和網絡,有助於消除因系統碎片化和孤立而導致的複雜性和安全漏洞。
在此基礎上,部署包含內建安全資訊和事件管理 (SIEM) 功能的綜合安全營運中心 (SOC) 可實現全天候監控、快速威脅回應和自動化合規性報告。將SIEM與SOC自動化整合的機構可以將安全職能從被動回應轉化為主動預防。然而,管理如此複雜的架構需要專業知識,而許多機構內部都欠缺這種專業知識。
託管服務模式能夠直接解決這個問題。德勤2024年全球外判調查顯示,77%企業目前已將網絡安全職能外判[5]。對於面臨人才嚴重短缺的香港CIO而言,託管服務可提供全天候營運能力,並為高管和營運技術人員提供專業的安全培訓課程。在選擇合作夥伴時,應優先考慮在關鍵基礎設施領域擁有良好業績記錄、具備全球合規認證、營運透明且提供企業級服務水平協議的供應商,從而應對人才短缺,並滿足生態系統信任方面的要求。
將壓力轉化成機遇
這種一體式策略為香港CIO帶來實際利益,例如利用專為關鍵基礎設施設計的成熟解決方案,加快合規準備。透過與單一專家供應商合作,還可以降低營運複雜性,同時應對多項技術需求和整合挑戰。透過託管服務,企業可以獲得專業的安全營運和全天候安全營運中心 (SOC) 服務,大幅減少對本地稀缺人才的依賴。再者,將安全營運整合到一個可承擔責任的合作夥伴,有助於進一步降低第三方風險,而「即服務」定價模式則提供可預測的成本,無需進行巨額投資。
果斷採取行動,實施一體化基礎設施和策略安全夥伴關係的機構,將會在監管合規和競爭威脅中取得先機。透過將技術策略與全新的《關鍵基礎設施保護條例》的目標對齊,香港的CIO可建立真正的韌性,並將監管合規轉化為推動更智能、更安全創新的催化劑。
作者簡介:HPE香港及澳門董事總經理郭榮忠
[1] 香港警務處網絡安全及科技罪案調查科, “網絡安全報告2024” (https://www.police.gov.hk/info/doc/cstcb/cstcb_csr_2024.pdf)
[2] Hewlett Packard Enterprise (HPE) and Ponemon Institute, “The 2025 Global Study on Closing the IT Security Gap”(https://www.hpe.com/psnow/doc/a00145793enw)
[3] 中國香港網絡安全協會 (HKCNSA) 及SIA 合作夥伴, “香港網絡安全人才概況” (https://www.sia-partners.com/en/insights/publications/cybersecurity-talent-landscape-hong-kong)
[4] SecurityScorecard, “全球第三方被入侵報告” (https://securityscorecard.com/resource/global-third-party-breach-report/)
[5] 德勤, “全球外判調查 2024” (https://www.deloitte.com/us/en/services/consulting/articles/global-outsourcing-survey.html)
