制訂資訊保安政策 確保資料穩健處理

　繼多個政府部門遺失載有個人資料的USB手指記憶體後，最新一輪資訊保安危機是警方內部資料外洩。5月底，有網民使用Foxy軟件搜尋到警方案件調查資料，當中甚至包括臥底探員行動日誌。本月初，網民使用同一軟件再搜尋到商業罪案調查科的案件資料。連同4月初警方內部《程序手冊》外洩，及5月初入境處監視名單外洩，Foxy一時間成為全城熱話。

　雖然同為資料外洩，連串遺失USB記憶體事故較像遺失傳統文件，都是物理性地失去蹤影，Foxy資料外洩事件則較貼近網絡年代。據悉，警方調查後認為內部電腦系統並無遭到入侵，而是有警務人員在家使用安裝了Foxy的電腦處理檔案，在不知情的情況下把其無意共享的資料夾都在網絡分享開來，致使資料外洩。

資訊保安政策未夠全面

　政府推行電腦化計劃已有多年，筆者與業界一直促請政府要完善資訊保安政策。今次事件並非發生在內部系統，而是發生在辦公室以外地方，反映現時政策涵蓋範圍未夠全面。
　我們要討論的不是Foxy有否設置後門程式、怎樣分享資料夾才安全、網上所能下載的Foxy是否曾遭修改崁入惡意軟件；這種討論無疑對一般電腦用戶是有益的，但我們更要理解這類軟件往後只會越來越多，針對個別軟件對防範同類事件再次發生的作用不大。

　現時，部門的資訊保安政策對內部系統的保安有一定要求，電腦安裝了哪種軟件，是要通過保安審計；誰人可以取用，亦有規定。這種種要求的目的，是要確立一個安全環境以處理部門檔案。但今時今日，隨網絡發展，工作需要和工作地點的流動性越來越大，不再局限於辦公室這個安全環境。各部門對遙距工作又有何規定呢？

　5月30日，立法會資訊科技及廣播事務委員會召開的特別會議上，出席的官員都表示，規定員工需先獲上級批准，才可把敏感資料帶離辦公室；而連串事故則顯示員工未有跟從指引，需加強培訓。筆者認為完全把責任歸咎個別員工並不恰當。實情是，政府未有訂立全面的遙距工作指引。當日出席會議的公務員事務局官員就表示，政府並無訂立在家工作的政策，認為員工在家工作是有感在辦公室未能完成工作的一種自發表現。

制訂指引　確立遙距工作標準

　其實，即使員工獲上級批准在家處理資料，亦不能確保安全，因為目前亦只有入境處及警方有向高級職員提供私人虛擬網絡(Virtual Private Network,VPN)以存取資料。那麼，初級和中級職員又如何遙距工作呢？而且光是VPN並不足夠，員工的私人電腦可能與家人共用，或會被安裝各種網絡上下載的軟體。

　目前的情況是，辦公室內訂下種種保安要求，但忽略對遙距工作的規定，形成一大保安漏洞。要避免同類事件再次發生，政府要同時把遙距工作納入各部門的資訊保安政策。譬如政府應制訂指引，說明辦公室以外處理資料的電腦應符合的保安要求。確立了指引，員工才能有所依從，避免使用不符要求的電腦工作。

　此外，有報道指警方前線人員的電腦數目不足，百多人可能只有幾部至十部電腦使用。警方今次資料外洩就有涉及口供紙，會否就是警署電腦不足，致員工在家把口供輸入電腦引起？如屬實，警方就應重新評估部門對電腦設備的需要，適當添置。一個完善的資訊保安政策，不單要能微觀針對個人意識或個別軟件，更要能在宏觀管理把出錯機會減低。今次警方資料外洩，微觀是Foxy軟件有問題，個別員工又未能注意，但宏觀上我們更應問，何以部門竟忽略了現時遙距工作的保安漏洞？政府是時候制訂一個更全面的資訊保安政策了。

(本文已於2008年6月13日刊於文匯報"單刀直入"專欄。)