資訊共享

邁向智慧城市的先決條件:完善數碼舉證法律基礎

創新創業、互聯網經濟與智慧城市成為了今年「國際IT 匯」的聚焦議題,其中更有多場以智慧城市為主題的活動。早前由香港公匙基建論壇舉辦的「邁向智能城市—數碼簽署及數碼證書」研討會上就探討了如何應用數碼簽署以配合智慧城市發展以及當中所面對信息安全方面的挑戰。

數碼證書應用實現安全智慧城市

副政府資訊科技總監林偉喬於活動致辭時表示,現今上網已成為市民日常生活的一部分,而要確保網上安全,做到在互聯網中能核實對方的身分,就需要運用數碼證書。而根據政府現行法例,數碼證書所產生的數碼簽署與紙張文件上的簽署具有相同的法律地位,並能符合與政府單位進行電子交易時的法律規定。

他並表示政府非常支持使用數碼證書,不論政府內部還是政府對企業、市民提供的服務均有採用。因為數碼證書的主要技術「公開密碼匙基礎建設」(簡稱「公匙基建」或PKI)可對文件的安全性、電子交易的真確性及不可否定性提供最高保證。

林偉喬又提到香港金融管理局去年十二月推出的電子支票服務,亦採用了公匙基建技術作數碼簽署。原因在於該技術能夠有效防止電子支票被篡改,避免手寫簽名與銀行內部記錄不符而出現退票的情況,並可減低被人盜用和冒簽的風險。他續稱, 建設智慧城市的要素包括物聯網、大數據分析、Wi-Fi等設備和不同系統的連接,而數碼證書和公匙基建技術則可提升這些連接上的安全性保護。

PKI 技術開拓創新應用領域

永泰信息服務有限公司主席黃仲翹博士在活動上分享香港在 PKI 技術上的創新應用,其中一項較為重要的就是數碼簽署。黃仲翹表示,數碼簽署並非新出現的技術,其實早年已有相關應用。例如政府部門在保密電郵、網絡設備、伺服器認證、數據加密以及身份認證等內部系統上均已應用該技術。

政府電子貿易文件的申報服務就是首個以市民為服務對象、並有規模地應用數碼證書和數碼簽署的例子,能有效簡化報關及處理進出口貿易文件和手續。他又指出,多年前政府已透過身份證將此技術以附帶形式送給市民使用。黃仲翹提到,一般而言有關數碼簽署法規在通過後需要頗長時間才被廣泛應用,常見的障礙包括大眾不了解法規內容、申請電子證書的程序過於繁複、電子證書的載體不便攜帶和使用,及缺乏相關配套和合適的應用。不過政府於 2007 年把政府的數碼證書認證機構 (CA) 通過合約方式委託商業機構營運,就引入了新思維和開拓更多新的應用領域。

他續稱,隨著技術發展成熟,除了既有的應用外,現時亦開拓各種新的應用。他舉例,以往藥物處方需由執業醫生親手簽署,這傳統做法加重醫生和藥劑師的工作量,而且往往構成流程上的延誤,對醫護人員及病人造成不便。 有見及此,醫管局利用數碼簽署技術,透過設定一種新的電子證書種類,以反映個人在機構內的專業角色,如受聘的醫生;證書由機構申請,只用於執行機構授予的職權,電子證書由中央統一儲存,醫生通過內部的保安措施接收電子證書簽署處方,革新了舊有的處方和配藥流程,提升效率之餘亦方便了廣大市民。

數碼簽署取證保障智慧城市資訊安全

談到智慧城市的發展,其安全保障亦是業界關注的議題。Nexusguard Consulting Limited 行政總裁龐博文就提到發展智慧城市需要完善的信息安全保障架構,以防止智慧城市環境下智慧罪犯及其新的犯罪模式出現。

他表示,智慧城市的核心由各方川流不息數據集合體構成,透過組合分析各種數據來優化社會上的所有基礎建設服務。但不管各種已經分析或未經分析的數據且不管透過什麼渠道收集,其源頭皆來自社會各階層的個人隱私數據。

由於智慧城市需要在一個開放數據的環境中方能有效發展,因此龐博文強調信息安全保障的重點並不應只於防禦及監控,反而需要更有效率及準確的罪案追查和舉證。而在智慧城市的環境下更會產生新的犯罪模式,例如擁有跨地域性的犯罪,勒索軟件就是其中一個例子。

龐博文指出,智慧城市的成功運作並不是一個獨立的智慧城市獨自運作,而是需要在不同的智慧城市之間進行數據互聯互通以優化數據的可用性和準確性。因此世界各國進行智慧城市的發展同時,必然會進行各樣相關信息安全保障的政策、法例或規管設置來保障其信息安全。

而針對智慧型犯罪模式作罪案追查和舉證,他認為可透過證據查證及搜證的主動權和範圍、證據驗證的共同標準、追查證據路徑的完整性和證據舉證的認受性這四項共同規則和關鍵設置來保障信息安全。如 ISO/IEC 15408-1:2009 針對物聯網裝置的安全標準作民用、商用、軍用級別的分級;ISO 17025 國際共同認證的法證實驗室驗證水平標準。鄰近的中國及台灣均設有相關法例和鑑證中心跟從國際標準,他認為香港在這方面仍有待跟上。

龐博文最後總結時指出,智慧城市帶來優勢,同時亦面臨新種類罪案的挑戰。在這種新的挑戰下必須隨時做好準備,保障大眾的信息安全。他認為香港政府宜建立相關法例以完善基礎建設,他建議規範所有關鍵智慧城市服務(例如:通訊服務)及敏感數據處理公司或機構,必須使用本地登記註冊或公營數位憑證認證機構,以確保追查路徑的完整性。同時建議政府協助執法機關的法證實驗室獲取國際共同認證的 ISO/IEC 17025:2005,以維持驗證的共同標準並確保舉證的認受性。此外,他亦建議政府協助建立符合進行 ISO/IEC 15408-1:2009 的智能產品安全性檢測中心以協助物聯網 (IOT) 的安全發展。

 

來源:UnWire.hk 2016-05-27