香港經濟日報報導,網絡犯罪市場產業化,個人帳號賣到40元,中美網戰更擺上枱面。但資訊保安短缺,引發全球經濟連鎖反應。單是警務處便錄430宗商務電 郵騙案,令港企損失近1.8億元(港幣,下同)。有資訊安全機構指,港僅得1,400位認證會員,平均月薪已增至約4.8萬元(年薪約58萬元)。
全球最大的資訊安全專業機構(ISC)²剛訪問逾1.2萬名業內人士,並發布《全球資訊安全人力研究(GISWS)》報告指,有2/3首席資訊 安全總監(CISO)認為,人才短缺導致數據洩露頻繁,令企業付出高昂代價。(ISC)²香港分會主席何錦華憂慮:「這行要求高,IT畢業生需儲4至5年 經驗才能考取認證。現時港會員僅1,400人,內地得600人,有經驗者又不輕易轉工,業界很難請人。」
行業挑戰大、回報高
香港互聯網協會主席梁兆昌也指:「人才需求愈來愈大。香港正推動云端運算,政府、金融機構、跨企都需要這方面的人才。香港醫療系統亦將電子化, 醫院及私家醫生聯網調閱電子病歷,病人資料相當敏感,保安做得不好就很易洩漏私隱。」港交所當年被黑客入侵,累7公司停牌,旋即重金聘請CISO負責整頓 資安文化及獻策改革。「不少華爾街大企更請CISO列席董事局,直接向大老闆報告。」
入行20多年,他現任香港電腦保安事故協調中心高級顧問,處理過不少難忘的網絡攻防戰:「03年1月SQL Slammer蠕蟲在20分鐘內癱瘓互聯網,令不少國家的網絡服務幾近停頓。緊接8月衝擊波(Blaster)蠕蟲四散,香港很多電腦開不到機。」當時有 數以千計市民致電中心求助,「電話不停響,最長的寧靜時間不多過15秒,最後連中心的電話系統都癱瘓埋。」
最近一次事故是1月的Java漏洞,連美國國土安全部也叫人移除。當時Oracle未出修補程式,用戶很困擾,香港政府建議暫時停用Java, 需用時才開,手續麻煩,幸好2日後沒事。梁兆昌感嘆:「行業變化大,對人的要求高,最吸引愛挑戰的人。回報也高,因為易搵工。跨企需求大又高人工,很有安全感。」
小學生問題 尖銳過CEO
資訊安全專家與一般IT從業員不同,不能只對住部機,更要有溝通技巧及管理知識,並認識各國的網絡監管法例,以處理國外事故。何錦華現任IBM高級資訊保安經理,對上要說服高層下放資源,對下要做部門教育,少點口才都很難解釋複雜的系統漏洞。
「反應要比一般用家更快,智能手機一出就要研究其漏洞。」不然,問題出來時被CEO問到口啞。經常義務到中小學教安全意識,何笑說:「小朋友的問題比CEO更尖銳。」問你如何防止網絡欺凌?如何不留痕跡地報復?「只好答:不要亂分享個人資料。」
抓緊黃金24小時
老闆要求也更高,報告指出,認為去年防範速度不夠快的保安專家比2011年多出1倍。「如今在機構主管眼中,2個星期才能從針對性攻擊中復原,簡直不可容忍。」今年的受訪資安專家,28%相信只需1日、41%相信可於1周內恢復。
何錦華又說,通頂(通宵)是家常便飯:「出事就要盡快處理,金融機構更要求在幾小時內恢復服務,幕後調查就看是否涉及外地蒐證。」收工都要立即返公司,甚至即刻執包袱飛外國。故他手機、護照不離身。 |