博客

黃永昌:雲端數據主權

隨著雲端服務的日益普及,企業可透過租用的方式,享有雲端服務,輕鬆地使用處理器、儲存容量、網路等基礎的運算資源,毋須自行購置基礎設施,節省成本;而且可按實時需要快速擴展。企業部署技術服務、構思以至實施,都比前快許多,企業因而可自由進行試驗、測試新構思,為客戶帶來不同的體驗,以及實現業務轉型等。 據Statista Q4 2019市場統計,雲端服務市場份額,主要由大公司所佔有,包括美國的AWS(33%)、Azure(18%)、Google Cloud(8%)和 IBM Cloud ( 5% ), 以及中國的阿里巴巴(5%)。由於許多雲端用戶為滿足業務需求,將個人資料存儲在雲端資料庫,需要符合相關數據存儲的規定,因此,大多數雲端服務商都在本地設置數據中心,讓客戶將資料加密,並存儲其中,以滿足有關法律要求。 由於歐洲沒有主要的雲端服務供應商,歐洲企業越來越依賴外國,特別是美國的雲端服務。但根據去年生效的美國的《雲法案》,地方當局可以命令美國供應商,上交存儲在服務器上的任何公司數據,無論該公司位於何處,包括歐盟在內。 缺乏數據自主權和自決權,特別是日益增加的敏感數據,例如知識產權、研究結果、公共衛生信息等,更不應受到外國當局的監控,法例自然引起歐洲企業的不滿和擔憂;加上越來越多的地緣政治憂慮、貿易爭端、政治不確定性,以及普遍對Amazon Web Services之類近乎壟斷的供應商產生懷疑等因素,促使歐洲企業有意將數據的雲端自主權,帶回歐洲本家。 因此,歐洲企業在德國和法國牽頭下,低調地在2019進行一個名為Gaia-X的大計,目的是打造一個歐洲本土的雲端服務,讓歐洲重拾數據的控制權。 為免失去數據的自主權,跨國企業在考慮與全球電子通信服務或遠程計算服務供應商,簽訂服務協議時,應對美國的服務供應商的組織設置,進行盡職調查,調查其是否可以「擁有、保管或控制」非美國分支機構持有的數據。服務接受者應盡量修改服務協議,以限制美國對非美國司法管轄區擁有的取得數據的權力。 而為降低風險,企業應評估與美國服務供應商的協議,以確定其是否可通過使用美國語言鍵盤,有權取得非美國實體在美國境外持有的數據,並在服務協議中,明確列明非美國數據,在非美國數據存儲的位置,須被「隔離」,包括物理上和邏輯上的隔離,並且不能從美國取得。此外,除非當地法律有所禁止,否則企業在簽訂協議前,應以合同語言通知美國服務供應商,作為服務接受者,已收到根據《雲計算法》所提出,具有法律約束力的請求。 如果關鍵數據是存儲在雲端,包括個人專有訊息、機密訊息或個人數據等,企業應利用最新的網絡安全方式,包括靜態加密和傳輸中加密處理,並且確保在任何情況下,加密的密鑰管理,都必須在企業的完全控制下;並在未經數據控制器的允許下,美國雲服務供應商不准取得數據。     撰文:黃永昌   香港電腦學會網絡安全專家小組執行委員會成員 [...]

博客

何思穎:企業家應善用科技轉型抗疫

在疫情持續影響下,電商網購(eCommerce)變了每人生活裡,不可或缺的一部分。 任何行業,無論餐飲或零售,都無一倖免。企業必須進行數碼轉型(Digital Transformation) ,才能繼續生存。疫情之下,企業應如何把握科技帶來的機會,逆流以上? 不少小型商戶,已經應用了IG小店,與客戶和粉絲親密互動。當有客戶喜歡的貨品,會第一時間貼心提醒,更有效促成更多買賣。每位消費者都追求「快靚正」,作為商家也面臨巨大的營運壓力。消費者把銷售、客戶服務(簡稱客服),視為一體;因此,企業老闆需要改變過往客服只是成本中心的心態。 過往,你的競爭力,可以是一個高流量的位置;而在網上,優秀的線上客戶體驗,就是提高競爭力重要的一環。疫情期間,消費者比過往更著重品牌信任,所以更不能忽視。如果客服遲了五天才回覆客戶,或客戶根本聯絡不到客服,又試問消費者如何能對你品牌產生信任? 由於傳統的電子郵件成效很低,很多公司已經採用了即時通訊軟件如WhatsApp,作為客戶溝通的主要渠道,以拉近和客戶的關係。WhatsApp全球現時擁有超過15億每月活躍用戶,亦是香港最多人使用的即時通訊工具。正因WhatsApp是即時通訊工具,快速回覆和對答精準,能更有效提升顧客體驗。 可是,無論是WhatsApp或WhatsApp Business應用程式,都是個人通訊軟件。WhatsApp在同一時間,只能允許一位用戶登入,其餘嘗試登入的用戶,會被自動登出。因此,這些工具是滿足不到在家工作,或遙距協作的需求的。 Clare.AI看準這個市場,2020年推出了WATI (”WhatsApp Team Inbox”) 。WATI 讓企業商戶把WhatsApp [...]

博客

黃永昌:雲端數據主權

隨著雲端服務的日益普及,企業可透過租用的方式,享有雲端服務,輕鬆地使用處理器、儲存容量、網路等基礎的運算資源,毋須自行購置基礎設施,節省成本;而且可按實時需要快速擴展。企業部署技術服務、構思以至實施,都比前快許多,企業因而可自由進行試驗、測試新構思,為客戶帶來不同的體驗,以及實現業務轉型等。 據Statista 第四季(2019)市場統計,雲端服務市場份額,主要由大公司所佔有,包括美國的AWS(33%)、Azure(18%)、Google Cloud(8%)和 IBM Cloud ( 5% ), 以及中國的阿里巴巴(5%)。由於許多雲端用戶為滿足業務需求,將個人資料存儲在雲端資料庫,需要符合相關數據存儲的規定,因此,大多數雲端服務商都在本地設置數據中心,讓客戶將資料加密,並存儲其中,以滿足有關法律要求。 由於歐洲沒有主要的雲端服務供應商,歐洲企業越來越依賴外國,特別是美國的雲端服務。但根據去年生效的美國的《雲法案》,地方當局可以命令美國供應商,上交存儲在服務器上的任何公司數據,無論該公司位於何處,包括歐盟在內。 缺乏數據自主權和自決權,特別是日益增加的敏感數據,例如知識產權、研究結果、公共衛生信息等,更不應受到外國當局的監控,法例自然引起歐洲企業的不滿和擔憂;加上越來越多的地緣政治憂慮、貿易爭端、政治不確定性,以及普遍對Amazon Web Services之類近乎壟斷的供應商產生懷疑等因素,促使歐洲企業有意將數據的雲端自主權,帶回歐洲本家。 因此,歐洲企業在德國和法國牽頭下,低調地在2019進行一個名為Gaia-X的大計,目的是打造一個歐洲本土的雲端服務,讓歐洲重拾數據的控制權。 [...]

博客

如何在物聯網時代保障網絡安全及私隱?

歡迎來到物聯網(IoT)時代,物聯網將逐漸成爲每人生活的必須品,每人都會帶備超過一個以上的IoT裝置如手機、遊戲機、 智能手錶和手環等。這些IoT裝置都具有傳感器,從周圍環境收集及處理資料,並傳送到遠程位置做進一步分析。現時估計IoT裝置共有150億個,大約每人有兩個連接的IoT, 預計到2020年總數會增長至260億個。 隨著智慧家電及IoT應用興起,裝置軟件及硬件都百花齊放,很多時製造商都先照顧市場需求的先進功能,而在保障資訊和私隱安全往往未成熟,一般用戶也就很易成為駭客下手的目標。HKCERT 就已發布名為「Reaper」或「IoTroop」的物聯網殭屍網絡研究,據悉殭屍網絡或已控制過百萬部IoT裝置,可被利用作DDOS攻擊,導致大規模互聯網服務中斷。當IoT裝置應用在人身上,例如無人駕駛車和醫療用品上,IoT裝置的漏洞,更有機會危害人身安全。 IoT裝置常見的安全漏洞範圍,包括: 晶片或硬件漏洞:在製造過程中,由於要進行質量保證,測試點和端口會被添加到設備中,以確保其功能在發貨前可通過周詳測試;卻因此留下了開放的測試點和編程或電路板上的端口,為駭客提供了物理途徑,可探查設備並測試其漏洞。例如有駭客利用XBOX 360內的端口,去探試保安降級的方法。 啓動操作系統引致的安全漏洞:駭客會利用IoT裝置操作系統啟動過程中的漏洞,來進行攻擊。由於啟動時保護機制有限,許多進階保護機制,還未發揮其功能,造成駭客有機可乘。例如,iPhone操作系統啓動的弱點,就曾被利用作越獄的方法。系統啟動過程中的保安措施,必須經過周詳的審計以確保不會被駭客攻破。 軟件漏洞:IoT裝置軟件很多時需要用加密方法,去進行認證或保護敏感資訊,此舉可有效提升IoT裝置的安全性,增加被駭的難度。但我們發硯很多時,軟件設計未經深思,遺下弱點或安全破綻,例如使用了公認的弱密碼,或已被破解的加密標準。例如Sony PlayStation 3由於一系列密碼漏洞,而被降低安全性。 遠程遙控漏洞:IoT裝置通常都設有遠程遙控通道,用以收集數據或監控。這些遠程通道是非常有用的,但有些卻在實踐和開發過程中遺下安全漏洞,例如製造商可能會允許任意執行API指令,通過這個攻擊媒介,駭客可遠程控制IoT裝置,並進行攻擊。 儘管製造商都意識到私隱和安全隱患,但為照顧市場需求,往往忽略了,或發生事故後才補救。因此,市場上通常採用軟件級解決方案,去改善IoT裝置的私隱和安全性問題。 隨著智慧家電及物聯網應用興起,一般用戶也成為駭客下手的目標。美國聯邦調查局呼籲用家,連網攝影機、遊戲機及智慧喇叭等用家裝置,切記別和電腦設於同一Wi-Fi網路,因為駭客會透過駭入上述IoT裝置,入侵Wi-Fi網路,再經由家用路由器,擴散到各個連網裝置,包括儲存私隱資訊和密碼的電腦。 [...]