學會風采 | 《澳門管理人》雜誌採訪 – 澳門網絡及數據安全學會

澳門網絡及數據安全學會高級安全技術顧問林家健先生於近期代表學會接受《澳門管理人》雜誌第98期的採訪，圍繞個人資料及私隱保護的風險管理進行探討

01數字時代澳門個資保護三部曲

雜：現行法律下市民的個人資料受到哪些保障？

林：本澳對數字時代個人資料與私隱的保護及風險管理主要有三部法規：

1. 《個人資料保護法》: 以往個人資料主要的媒介為承載個人資料的文件、表格等紙本，若出現個人資料洩露，所影響範圍有限，但在網絡及電子支付、電子貨幣迅速發展的時代下，承載個人資料的媒介發生轉變，因此需要新方向及技術保護個人資料。

2. 《網絡安全法》:加強監管涉及民生相關的不同機構，給予指引讓這些機構建立網絡安全架構，保障用戶的個人資料安全。

3.《打擊電腦犯罪法》: 對利用電腦進行犯罪行為列為刑事。

02本澳網絡安全意識需提高

雜：本澳網絡安全最大威脅有甚麼？

林：香港近期有多個公私營機構遭受網絡黑客攻擊，導致個人數據洩露或遭黑客勒索，無論是香港抑或是本澳，很多機構都不清楚黑客的攻擊手法，因此對如何部署預防網絡攻擊無從入手，對網絡攻擊（威脅）的認知不足是現時對澳門各機構最大的網絡威脅。

現時最常見的威脅便是勒索軟件，與APT（Advanced Persistent Threat，進階持續性滲透攻擊）特性不同，勒索軟件目的是要快速賺錢，因此攻擊手法直接簡單，在短時間直接攻擊一些已知的漏洞，這是較容易進行防範的，但如果大家對自身攻擊面不了解便難以保障自己。而勒索軟件常見的攻擊手法是遠程登入、遠程訪問服務(如: SMB)等，在經歷較早前的“Wannacry”勒索軟件後，大家對此有所認識，開始避免對互聯網打開一些不必要的遠程方問或有嚴重漏洞的服務，機構亦逐漸重視網絡安全。

03「網安法」構建本澳網安新環境

雜：相關法律頒布對業界帶來怎樣的改變？

林：大家對網安的認知可以說是從無到有，但從有到做得好仍需時間，需要有更多的時間及資源方能走到下一個層次，在受到網絡攻擊及《網絡安全法》出台後，不少公司都會增加資源去保護網絡安全，且「網安法」亦有細緻的條文進行規範。

04網安意識提升促行業發展

雜：澳門社會是否注重個人隱私保護？哪方面值得澳門社會注意？

林：有不少大型企業願意調配資源關注網絡安全，會購買24 x 7全天候的SOC監控服務維護網絡安全，在四、五年前未必有人知道這個服務，但今時今日沒有人不知道，這已經是安全意識上一個很明顯的進步。

隨著網安法的出台，本澳近兩年新增針對不同需要的網安公司，不少IT公司也新增網安服務，另外澳門網絡及數據安全學會會員亦不斷增加，可以見到網安業界正逐漸發展。他還提到，本澳亦有如CTF網絡安全比賽，見到有不少學生參加，相信未來會有更多人士入行。

05保護個人隱私共創網絡安全

林：隨著電話及即時聊天軟件的普遍，近期不少詐騙個案都涉及個人資料保護，甚至不少應用程式均須同意使用部分個人資料，建議大家在授權個人隱私時要小心，避免牽涉非必要提供的個人資料，以小程序為例，若要求提供用戶名稱及頭像外的資料則要謹慎，換言之，大家需要知道自己使用的服務需要提供哪類個人資訊，判斷有否提供過多的資訊。