(香港文匯報記者 文禮願)美國政府頻頻打壓中國高科技及網絡軟硬體,近日更下令公務設備剔除中國應用軟體TikTok(抖音海外版)。反觀香港,一直沿用部分歷史遺留下來的招標準則,把內地軟硬體拒諸門外。其中,香港房屋委員會及房屋署今年1月23日為旗下一個內部系統購置新型號Web防火牆時,在公開招標文件中列明,有關防火牆必須符合美國ICSA認證標準。中美貿易戰下,幾乎再無內地製造的防火牆可獲ICSA認證,變相投標無望。有信息科技界人士指出,該系統儲存近200萬港人的私隱,招標準則竟採用美國認證標準,而非內地乃至全球更廣泛採用的ISO 15408標準。香港文匯報調查了解相關情況後,日前向政府信息科技總監辦公室查詢;資科辦昨日回覆表示,會檢視及更新防火牆產品需符合的信息安全標準,包括加入最新的ISO、GB等國際和國家技術標準。
香港房屋委員會及房屋署今次的招標風波,在信息科技界掀起高度關注,源於共166頁的招標文件,採購一個保護內部系統的防火牆。該系統為各部門的伺服器和授權使用者提供中央部門網際網路閘道服務,消息人士透露,該系統原先的防火牆屬於美國公司所生產,將於2025年4月被停止原廠支援。
受美防火牆「保護」 資料「中門大開」
未知是否因為要沿用舊有招標準則,房委會及房署今次在招標文件中,列明「每個供應商在標書提議的WAF防火牆都需獲ICSA 認證」。所謂的ICSA全名為 International Computer Security Association (國際計算機安全協會)、前身是美國 NCSA(國家計算機安全協會),目前由美國電訊科技公司 Verizon Business (威瑞森通訊)管理和運作,而威瑞森通訊曾打壓中國高科技產品,如2018年停止銷售華為手機。
熟悉信息安全的專家透露,ICSA是安全產品實驗室,為網際網路安全產品進行認證。內地為數不少的廠商在2020年前亦會把自家的防毒軟體及主打國際線的安全產品進行ICSA實驗室認證,包括華為、騰訊、阿里巴巴及金山軟體等,然而只局限於部分銷售或主攻國際民用市場的產品獲認證,供應於內地政府部門和關鍵基礎設施的產品,一概沒法獲ICSA認證,「2020年中美貿易戰急速升溫後,中國產品獲ICSA 認證已少之又少。」
專家指出,ISO 15408標準認證更具公信力、更多國家或地區採用,內地制防火牆多數獲此認證,但房委會及房署的標書只接受ICSA認證標準,變相把內地防火牆拒諸門外,標書也有利美國防火牆生產商。
專家直言,經過ICSA認證的產品,需接受由原始程序碼開始的包括軟體及硬體性能測試,這無疑等同將產品的功能、性能、能力界限以及漏洞,都被提供認證的國家完全知曉,房委會及房署使用ICSA認證防火牆時,無可避免會將有關資料曝露於極為不利的環境之下,「沒有網絡安全就沒有國家安全,若香港特區政府被制裁,這防火牆不提供服務,會否有癱瘓的風險呢?」
專家:沒有網絡安全就沒有國家安全
就是次招標風險,房屋署昨日回覆香港文匯報查詢時表示,一向參照政府信息科技總監辦公室就信息科技保安的指引,制訂信息科技採購標書內的相關技術條款。因應資科辦現行《網絡設備及業務伺服器系統常備承辦協議》(以下簡稱《協議》)有關防火牆產品需符合當時的信息安全業界標準(包括由ICSA 實驗室所發出的認證),及考慮到更換後的防火牆與現有連接系統的兼容性,將ICSA認證定為是次投標產品的技術要求進行招標工作。
政府信息科技總監辦公室發言人則表示,各政府部門採購網絡設備產品包括防火牆產品,可以自行進行招標工作或透過資科辦的《協議》揀選合適的產品。資科辦現正籌備新的《協議》,將會檢視及更新防火牆產品需符合的信息安全標準,包括加入最新的ISO、GB等國際和國家技術標準。
舊例歧視國產軟體 議員:應儘快修正
除了房委會及房屋署在防火牆標書中列明需符合美國ICSA認證標準外,香港特區政府還有哪些部門的防火牆也採用ICSA認證的產品?香港文匯報記者近日向政府信息科技總監辦公室查詢,惟對方未有進一步披露。
尚海龍:政府部門須提升數碼安全
商湯科技香港公司戰略顧問、立法會議員尚海龍表示,若政府部門就防火牆招標時一直跟從以往沿用的認證標準,或因此未有關注到技術細節的變化而延續寫上ICSA標準,「不能話房委會或房署系有心為之」,不過既然事件引起信息業界高度關注,政府有必要檢視當前使用的軟體或硬體是否也有類似風險。
他續指,香港一直主張公平,政府招標時要一視同仁,「如果客觀上造成對中國產的軟體或硬體有不公平處,政府部門或公營機構都應儘快作出修正。」
他認為,香港作為中西匯聚的地方,若然經過評估後ISO 15408也能達到美國ICSA認證標準的保護作用,不妨增加多一個標準作為招標門檻。
對於有業界關注今次房委會及房屋署的最新招標若落入外國防火牆製造商手中,會否使香港市民的敏感資料曝露於風險之中,尚海龍指出要視乎有關敏感資料的儲存環境,「如果有關資料只是放在主機中或者屬於私有化部署,那泄密的風險未必高。」若經過評估後認為泄密風險高的話,政府不妨在新中標的防火牆外,再加一道防火牆。
另外,尚海龍亦建議由資科辦牽頭成立港版的「政府採購安全可靠信息產品清單」,協助各政府部門和公營機構提升數碼安全。
楊永傑:港計算機系統有被封鎖之憂
香港立法會議員楊永傑指出,在中美貿易戰下,不少中國公司被美國實施所謂的「制裁」,甚至刻意不審批有關公司的產品,故房委會及房署要用美國標準作為招標的核心條件,變相排除不少中資公司,「這樣,入得標的基本上是外資公司為主,但問題是房委會及房署現在的標準牽涉數以百萬計住戶的敏感資料,要求的保密標準應該更加高。」
他認為,將有關資料擺放在美國或外國研發的軟體或硬體,一旦中美貿易戰升級,香港勢必受牽連,整個系統有機會被人封鎖,大量儲存在計算機內的資料或會完全找不回,「這是非常大的風險,作為政府應有意識地以中國標準為主要準則,將敏感資料擺放在由中國研發的軟體或硬體中,才是最安全。」
每日瀏覽更多新聞資訊 關注香港大公文匯傳媒集團官方頭條號:大灣觀察