筆者長期寫商業方案介紹,其中一個最常出現的名詞就是「合規」(Compliance)。所謂「合規」其實就是用科技來讓商業機構在處理 IT 時能夠符合政府監管和法例要求,舉例說中國就不讓在中國市場收集的商業數據放到中國以外的伺服器或公有雲,而香港的監管機構也不讓銀行把客戶數據放到雲端上,必須放在銀行自己的數據中心之中。
先撇開有些國家不讓數據出國的用意是什麼,但大多數這類監管要求都是善意的,以保護市民和消費者的權利。就算大家不滿 Uber 被香港阻撓,但監管「白牌車」背後始終是為了治安,而監管金融機構愈嚴謹,就代表愈重視大家的財富,也許政府政策很僵化,但最低限度也是有正確理由。
但最近兩宗政府電腦失竊案件,卻令人不得不質疑政府只是「嚴以律人、寬以律己」。
商業方案經常都會寫一些流動裝置管理(MDM)、流動程式管理(MAM),甚至是虛擬桌面(VDI)方案,出發點都是防止重要資料外洩,尤其是協助機構達到監管要求,例如 VDI 往往就是銀行、政府機構採用,把重要數據停留在安全地方,絕不帶出數據中心之外。
識監管 Uber 監管眾籌,但不識監管政府資料管理政策
選舉事務處遺失兩台電腦尚且可能是意外,但當發展局的重要文件也這樣被偷走,反映的是政府並沒有像看待銀行和金融機構數據般,重視政府機密文件的安全。加密並不是唯一及安全的方式,筆者訪問過的保安專家都會說資料保安是需要「人」去配合的,工作流程設計、機構管理數據的政策都比科技本身更重要,如果從一開始資料就 24 小時有人看管,甚至沒有離開過政府總部,又怎可能會遺失?
以發展局平板電腦及文件失竊事件為例,政府到底有沒有嚴謹的自攜裝置辦公(BYOD)的政策?自攜裝置有沒有安裝相應的 MDM 或 MAM 管理軟件?失竊裝置能不能遙距刪除資料?如果是影響深遠的機密文件,除了加密還有什麼保護?有沒有考慮使用 VDI 來把機密資料保護在高度保安的數據中心?
如果政府把監管金融機構、監管創新生意手法的心思,也放到監管自己身上,即使只有一成,也不至於一而再的出現這些錯。
希拉里「電郵門」一身蟻、但香港會有官員問責嗎?
看一看美國,希拉里因為「貪方便」,在任職國務卿期間利用私人裝置和電郵帳戶收發公務電郵,被揭發後就被 FBI 調查有否失職,讓國家機密有機會被黑客或敵對國家盜取,危害國家安全。而現任總統特朗普更被逼放棄使用自己愛用的舊手機,改為採用經過保安檢查、功能受限的手機來處理公務。
希拉里和特朗普就連用什麼帳戶發郵件、用什麼手機也要受到監管,更何況處理國家的機密資料?香港政府不僅在回應科技創新時僵化落後,部門本身也沒有追上創新的文化。當稍有一點規模的公司也會有 BYOD 政策和防範企業文件外洩,政府居然可以讓官員帶著機密文件的裝置放在汽車裡沒人看管?如果有銀行職員敢這樣做,豈會沒人被問責。
政府實應亡羊補牢,由根本重新改革政府部門的 IT 政策,甚至應像美國般訂立監管政府記錄保存管理條例。今天的 OGCIO 只能提供 IT 指引給其他部門,但其他部門還是自己有自己的做法,這樣的資訊管理政策哪有可能不出事。就算無監管無法規,銀行外洩客戶資料尚且能用市場機制懲罰,但無監管無法規的政府部門,市民怎懲罰?
作者:Boris Lee
Unwire.pro 資深編輯。在企業 IT 科技報道範疇有十多年經驗。