去年10月,政府的「智方便」宣布通過資訊安全管理系統(ISMS)及私隱資訊管理系統的相關認證審核,獲得ISO 27001及ISO 27701國際標準認證,冀能提升市民及私營機構對系統的信心,鼓勵更多網上服務提供者通過平台提供服務。連政府官方平台都要以此為賣點,可見累積客戶的信心是企業續航的關鍵,亦足見資訊及網絡安全的重要性。對初創企業而言,積極取得國際認可,除可加強信任度及競爭優勢,更能提升自身及業界的網絡安全水平。
然而,獲取資安相關的ISO認證並不是如想像般容易,從事金融科技數字資產指數編算的信昇資本國際(IX Capital International Limited)就曾經因為發現要準備的工作比預期高而在一年前開始時在籌劃中突然擱置。
獲得資安認證 非想像般容易
先簡單科普一下,ISO 27001是資訊安全管理系統的國際標準,由國際標準化組織(ISO)及國際電工委員會(IEC)共同制定,旨在提供一套全面架構,列出關於建立、實施、維護和持續改進的要求,其核心是建基於三大資訊安全原則,包括機密性、完整性及可用性,對信息安全、網絡安全和隱私保護均有要求。而信昇資本是次評核,是在由國際認證領導者SGS的香港分行(香港通用檢測認證有限公司)進行評估、審核和認證。
信昇資本國際(IX Capital International Limited,IXCI)創始人兼行政總裁黃愛玲表示:「一開始時同事都沒有經驗,需要準備的文件既不熟悉又繁雜,對年輕的同事難度不低,加上作為一家初創公司同一崗位沒有兩個成員,一些同事離職後相關工作便中斷了,雖然我們聘用一位有經驗的外部顧問,但最初得知要求後發現還末有能力做到要求的所有檔案;一年後,我們決定捲土重來,找到一位具有相關背景及能力的人,並再次聘用一位顧問來協助內部工作,協助編製及準備相關文件,同時亦額外聘請職員共同準備文件。經過多方協調及嘗試,再一次嘗試申請時,才真正成功。」有「加密幣指數之母」之稱的黃愛玲將申請ISO 27001 當中的高低起伏娓娓道來。
聽起來實在是吃力不討好的工作,為何當初會決定申請?黃愛玲表示,這是因為希望能夠先通過通過ISO27001來建立客戶和業界對我們的了解和信任,再去建立標準(build standard),「其實,『做指數』一向只是我們目標之一,最後我們是想建立一套給市場機建的標準。如今全球還沒有任何一個單位能創立一個全球各方皆會遵從的機構幣化標準(tokenisation standard)。因為要創建一個標準,背後需要做大量的工作。要讓其他人信任你的標準,關鍵在於標準的公信力。而ISO 27001認證,是我們認為可以幫助建立公信力的因素之一。香港是國際金融中心,這個範疇,我希望可以爭取變成我們的新資產,再可對製造新經濟支柱起正面影響。我們其實在兩年前亦已經做了IOSCO合規檢討並做好了承諾宣言文件。」
黑客無法取得關鍵數據
ISO 27001對IXCI而言,不僅是標準認證,更發揮實際作用,「隨着公司業務擴大、名聲提升,我們也察覺到曾經遭受黑客入侵」,黃愛玲道。原來,每年的6月和12月都是IXCI進行大型檢討的時期,黑客就故意選擇在12月之後我們做成份轉換index rebalancing的日子來進行攻擊,「幸運的是,我們當時已實施ISO 27001標準。當時我們已經設置多因素認證(MFA)作為雲端安全的一部分,黑客即使已經入侵了系統,卻未能進一步攻入關鍵的指數數據,這正是ISO 27001在程序上幫助降低風險的明顯例子,證明其實用性。」
毫無疑問,黃愛玲是滿懷感激之心的人,她表示很感激外部專家進行審核,從而指出內部可能忽略的問題所在,亦會仔細檢查系統流程是否存在任何漏洞、是否有任何可疑的元素被置入、操作流程是否嚴謹等,對於企業、指數的資訊安全有莫大幫助。「一路走來,我們非常幸運,得到了許多不同機構的支持。我們是數碼港的租戶,也是培育計劃的成員,他們都非常支持及鼓勵我們,時不時會邀請分享相關經驗,與整個初創生態圈一起提高水平及守住防線。實際上,還有許多不同的人支持我們。原因是,很多人看到我們所做的不僅僅是商業項目,而是具有影響力(impact)的工作,想要幫助整個市場擴大。」
Web 3.0無限放大 網絡安全風險
成功爭取國際認證標準的,不止是信昇資本國際;總部位於新加坡、及後進駐數碼港的Safeheron亦是同道中人。
Safeheron是數字資產自託管平台,旨在打造一套去中心化的自我托管數字資產基礎架構與服務組合,務求為全球用戶提供高度安全的私鑰保護、資產傳輸保障以及與智能合約的安全互動,確保用戶的資產能在錢包、Web3協議以及交易平台間順暢且高效地流通。
其行政總裁王威(Wade)表示,在傳統行業中,網絡安全本來就已經極為重要,因為一旦出問題,其風險和代價都是巨大的,而Web 3.0更是將這些風險和代價無限放大。「如果某個Web3公司出現了安全漏洞,遭到黑客攻擊,可能直接導致的就是金錢的損失,進一步可能導致公司直接倒閉、關門。」在他眼中,這不只是一家企業的問題,「這可能會使整個行業、用戶群或社區對該公司或產品失去信心,進而導致產品的迅速衰落。因此,由於此類事件涉及財務和商業資產,一旦發生網絡安全事件,就會將風險放大。所以,在Web3行業中,網絡安全是特別關鍵的一環。」王威再一次強調。
有見及此,除了SOC 2合規安全性稽核,Safeheron亦有申請ISO 27001國際標準認證,唯過程亦毫不簡單,因為在整個審計過程中,審計機構Safeheron駐場了幾個月。在這期間,他們深入了解企業的業務流程,這要求Safeheron投入大量的精力來迎合他們的標準,解決審計機構提出的問題。「有許多改進點是我們之前沒有考慮過的,包括我們的人員、網絡環境、辦公環境以及內部管理環境,還有我們的流程安全等,這無疑是一個巨大的挑戰。但我們認為這些挑戰是值得的,因為它們能夠幫助我們更好地提升和保障我們的安全水平。」回想那段時光,雖不容易卻很值得,這是王威如此認為。
讓顧客信任企業能力和承諾
諸多的不容易,亦換來豐碩成果──客戶的信任。對於企業的安全技術──包含加密技術和其他保護措施──Wade 可說是非常自信,但這些內部措施對於外部合作夥伴來說是不可見的。「挑戰在於如何讓他們相信我們,信任我們的能力和承諾。這正是認證發揮作用的地方。認證過程通常需要大量的資源,包括人力、時間、資金和其他成本,但這些投入在完成認證之後,不僅代表了我們對安全的極度重視,也成為了我們的一種承諾和保證。這個過程和結果向外界證明,我們有一個經過審核和認可的安全系統。這就是我們的底線和優勢,有了這些認證,我們的外部合作夥伴,特別是傳統的金融機構,就更可能信任我們,並願意與我們討論合作機會。造就是為何認證如此重要。」
在近年一系列的網絡安全事件發生後,馬上有報章輿論批評,截止2022年,香港獲得的ISO 27001認證僅有243個,低於鄰近地區如日本、台灣、新加坡,絕對數字比較或許沒有太大意義,畢竟不同經濟體規模各異,反倒是業界如數碼港生態圈等努力不懈的追求,共同建構更具網絡安全的城市,這些默默耕耘的人,共同提升香港整體資安水平,亦令外界對行業加強信心,讓整個生態圈受惠,比起冷冰冰的數字,更值得銘記於心。
