传媒人

莫乃光 | 「披露易」故障疑点多

作者: 莫乃光  |  评论(0)  | 标签: 香港 , 港交所 , 黑客入侵 , 披露易 , DDoS 港交所「披露易」网站,本周三上午受黑客入侵,无法运用。港交所为资讯发放公平起见,把包括滙控、国泰、港交所等七股份及一债券停牌。 这「一刀切」做法,惹起市场爭议,指「披露易」既非唯一资讯途径,多只主要股份停牌,反令投资者承受隔夜风险,不能保障利益。 无论如何,港交所既然承认事故为外来黑客入侵而起,实比原本公佈的「技术问题」严重得多。港交所在下午五时多才公佈事故,但市场早已传出被黑客入侵,笔者当天下午二时许亦听闻,港交所说要维持公开披露,为何转头却延迟披露? 港交所须公开交代 当「披露易」网站出现问题后,许多人都问,为何没启动后备系统?当港交所承认事故原因是黑客入侵后,大家就明白,后备系统和主要系统相同,立刻启动后备系统不能即时解决问题。虽然「披露易」网站性质与港交所其他更重要的系统不同,但这次事件无疑仍然影响公眾对港交所资讯系统的信心,加上其行政总裁李小加坦言,过去也有黑客试图入侵,就令人更担心,港交所以往处理入侵和研究,是否足够?在这次事件前,是否连报警的需要也欠奉,以求避免张扬? 其实,股票交易所受黑客入侵,屡有所闻。今年二月,纳斯达克市场被指入侵,可能有黑客窃取资料,而伦敦交易所也被指去年八月系统提升是被黑客入侵;总之,纽、伦、港,无一倖免。虽然这些事故的情况各有不同,但共通点是交易所对公佈相关系统安全资料都不太公开。当然,各交易所顾忌別人知道太多,但事实上黑客所知已足够为所欲为,交易所能向公眾披露更多,反而有助挽回公眾的信心。 究竟甚么黑客尝试入侵?目的为何?有见本周市场波幅可谓「十年难得一见」,周三正值连续两天大股灾后反弹,不能完全排除有人藉机图利。而且,世界上较高调的黑客集团,如主力攻击政府网站系统的「无名士」,和曾经入侵美国 CIA、新力集团和新闻集团系统等的「 LulzSec」,往往以其黑客行为宣泄社会讯息,但主要侵袭財经机构系统的黑客,却会比较「低调」,较可能涉及与其他集团合作图利。 香港是国际金融中心,这问题不会完全消失,反而可能经常成为攻击对象。香港的大型金融、商业和政府机构,绝不能掉以轻心! 2011年8月13日 刋载於《苹果日报》 http://hk.apple.nextmedia.com/template/apple/art_main.php?iss_id=20110813&sec_id=15307&art_id=15519639 一五一十部落原文链接 | 查看所有 0 个评论 莫乃光的最新更新: 谁玩转了大龙凤? / 2011-08-23 00:07 / 评论数( 7 ) 港推动 4G应放眼世界 / 2011-08-20 09:25 / 评论数( 0 ) IT界选民首次不增反减,更易操控! / 2011-08-16 12:33 / 评论数( 0 ) 「披露易」DDoS 事件引发的监管和技术质疑 / 2011-08-15 23:59 / 评论数( 0 ) 自愿医保效益仍存问號 / 2011-08-15 13:59 / 评论数( 0 )

阅读更多

莫乃光 | 自愿医保效益仍存问號

作者: 莫乃光  |  评论(0)  | 标签: 自愿医保 , 特区政府 , 公共专业联盟 特区政府终於敲定自愿医疗保障计划( 「自愿医保」),提出一个「三管齐下」的行动计划,使停滯不前的医疗改革得以在未来两年有所发展;特区政府更承诺改善公共医疗服务,以及加强对私人医疗保险和私营医疗服务的规管。 行政费用蚕食医保 本港医疗发展至此迈进新的一页,市民理应感到高兴,事实上大家仍然忐忑不安。社会和本智库曾就政府建议的方案提出多方面的质疑,但政府基本上没有作出针对性的回应。其中使人最忧虑和不满的,是政府始终没有提供详尽的成本效益分析,市民根本无法掌握投入的公帑会有多少,能否最低限度省回等值的公营医疗服务,也就难以评估计划的可持续性。 儘管特区政府承诺增加医疗开支,把有关拨款佔政府经常开支的份额由2011-1 2 年度的16.5% 增至来年的17%;可是名义金额的增幅实际上只有3%,远低於本港今年上半年5.6%的通胀水平。另一方面,近日承诺医护人员可获额外加薪和津贴;但人口老化需要额外医护人手,都会推高人力开支水平,哪里还有余钱改善公共医疗服务? 私营医疗收费问题备受詬病,社会舆论普遍支持加强规管。然而,社会普遍对政府能否顺利推行「套餐式收费」不表乐观,因为有关机制纯属自愿参与。事实上,私营医疗界对「套餐式收费」普遍持负面態度,认为会削弱其定价权,並严重影响收入。其次,新增的三千张私家医院病床有多少会实施「套餐式收费」,仍是未知之数。 既然如此,大眾化市场势將继续给病床短缺问题困扰。若医疗人手和病床短缺的问题未能根治,私营医疗服务提供者便毋须面对价格竞爭,届时冀求私家医院自愿接受新的收费模式,无异於与虎谋皮! 强积金已推行多年,可是特区政府始终无法遏止基金界收取高昂的管理费,因此很难相信政府在处理自愿医保收费时,有决心和有能力確保歷史不会重演。由於政府往绩差劣,叫人担心规管相关行政费时若实施某种形式的「利润管制」,效果可能適得其反,反而保证业界获得可观盈利,变相成为「利润保障」。基於前述因素,政府若坚持己见,便须提出具说服力的理由,解说为何政府干预较市场运作为佳。 自愿医保的成本效益固然成疑,政府財政补贴的可持续性叫人更感忧虑。首先,本港老龄化问题在二十年后將更严重,高龄组群不断扩大,年轻组群愈形萎缩,此消彼长,届时相信没有足够年轻投保人分摊风险。其次,据闻准许行政费可达保费10%的水平,那么五百亿元的公帑补贴可能不足以维持二十至二十五年;更重要的是,特区政府没有交代补贴耗尽之时,自愿医保能否达致收支平衡,更遑论向纳税人交代潜在的財务负担。 老龄保险市场已有特区政府提供自愿医保,违背了一直以来奉行的「大市场、小政府」原则,介入私人医疗保险市场的唯一原因,是市场缺乏有关產品。事实上,本地市场不乏承保至一百岁的医疗保险產品,大部分產品的投保年龄甚至可以迟至七十岁,保费水平也不会因投保人的健康状况恶化而大幅提高,甚至可固定在某个水平。 有关產品充斥保险市场,说明市场本身有能力控制和消化有关风险,因而可以继续为老龄投保者提供医疗保障。既然如此,特区政府必须清楚交代这些保险计划有何不足之处,非由政府资助的「高风险池」取代不可? 人力资源也是一个问题。行政长官在2009-10年度《施政报告》宣布拨出四幅私家医院用地时,只有限度增加医护人员培训名额。举例来说,政府自2009-10 学年起每年提供额外七十个医科生学额,由原来的二百五十个增至三百二十个,实际效果是只能把医科生学额回復到十年前的水平。 特区政府应把握时间,即使在医护人力策略检討完成之前,在未来两年进一步增加各类医疗专业人员的培训名额,否则无法应付未来五年新增三千张私家病床所带来的额外人力需求,也难以降低私家医疗收费。 笔者按:详情见本智库於今年8 月8 日在立法会生事务委员会特別会议上就《医疗改革第二阶段公眾諮询报告》发表的立场书。 http://nowtweet.it/2qz 公共专业联盟副主席www.procommons.org.hk莫乃光 2011年8月15日 刊载於信报《专业眼》 一五一十部落原文链接 | 查看所有 0 个评论 莫乃光的最新更新: 谁玩转了大龙凤? / 2011-08-23 00:07 / 评论数( 7 ) 港推动 4G应放眼世界 / 2011-08-20 09:25 / 评论数( 0 ) IT界选民首次不增反减,更易操控! / 2011-08-16 12:33 / 评论数( 0 ) 「披露易」DDoS 事件引发的监管和技术质疑 / 2011-08-15 23:59 / 评论数( 0 ) 「披露易」故障疑点多 / 2011-08-14 01:39 / 评论数( 0 )

阅读更多

莫乃光 | 「披露易」DDoS 事件引发的监管和技术质疑

作者: 莫乃光  |  评论(0)  | 标签: 港交所 , 香港政府 , 黑客入侵 , 披露易 , DDoS 八月十一日的中午前开始,港交所的「披露易」网站遭到黑客攻击而瘫痪,港交所「果断」地决定把七只股票整个下午停牌,包括匯丰、国泰和港交所自己三大蓝筹,和一只可换股债券;结果,影响四百多只衍生工具如窝轮给牛熊证,令一眾「坐货」的股民「被坐艇」,以致翌日一开市,有关轮证价值已经蒸发了二千万元。 「披露易」事件,引发出多个关於港交所以至香港政府的危机及风险管理的问题,当中亦涉及技术和监管决定的问题。港交所在十一时许发现被入侵,在午市休息时段已决定把相关股票停牌,理由是保障资讯公平,方作出这「痛苦决定」,但却仍有证券商能在下午开市初段成功交易,这又是否哪里出了错? 单向思维不利应变 对於停牌的决定,证券业界和股民多数表示不满。当然,在任何危机关头,作出即时决定不是容易的事,港交所对「披露易」被入侵事件,的確有高层即时处理,没有人能说他们没有尽力,但事件的处理若有未尽人意,政府和监管机构都有检討的责任。 首先,停牌是否就是能保障资讯公平?监管机构保障资讯公平,目的是交易能在公平环境下进行,结果才是最重要,如果僵化地处理资讯公平,结果明显地令部分股民无法交易,但眾所周知,大户却能继续在这些股份停牌下对冲,这结果又是否公平? 更令人关注的,是港交所为何达致这样的决定?笔者曾经向財经市场人士查询,他们都未能想出本地或海外市场的里似决定;黑客入侵交易系统並非首次,停牌更常有,但因为这样的事故而停牌就想不出先例了;加上,停牌决定是根据什么程序作出,除了知道港交所管理层曾经知会证监会外,全不透明。 因此,令人怀疑的是,港交所作出此决定,是否由於一种「直线」的单向思维,即「if A then B」,却没有足够考虑在不同情况下的「A」和「B」,都可能有不同的前因后果。甚至,身兼监管责任的官员,会否在这单向思维的习惯下,只顾保护自己一方避免付上责任,而採取最「安全」、依书直解,但未必是最佳的应急决定? 政府要正视,不是淡化 笔者无意以现有的有限资料过分指责港交所的做法,但香港政府的確有责任调查清楚,至少也要令港交所、证监会和政府本身,都在这次事件中学习一课,並適当地向公眾作出交待。 然而,在事发翌日早上,財政司司长对传媒发言时称,黑客入侵交易所系统並非香港独有,在世界各地时有发生;当时,笔者正在一家收费电视台的时事节目直播中,听到此话,主持人和嘉宾包括立法会议员涂谨申和前政府高官何永谦及笔者,举座哗然!在场所有人都觉得,財爷在不当的时间,不当的情形下,作了不当的评论。 財爷说的,在客观事实上没有错,笔者也有说过类似的观察,然而,財爷他口中说出来就难免令人有护短的感觉。有些说话,身分不同就不应说了,財爷一番话只令人觉得有意淡化事件,因为公眾对他的期望,以及他的责任,是正视事件,公平地调查真相,然而,在事发不足一天便出来这样说话,犯了公关大忌。 不过,若然这並非个別「公关」错误,而是反映香港政府官员一种对危机的自然反应,就是出来告诉市民可以放心,没有问题,「大事化小」,而相反却把另一些问题(例如外佣留港事件)政治性地「小事化大」,这样实非香港之福,亦解释了为何香港政府的管治水平沦落至此。 应对措施,过於simple、naive? 除了以上关於监管决定的问题,尚待调查和澄清外,「披露易」当然亦令人关注港交所的技术及保安能力,能否抵御几乎无可避免的黑客挑战。 事发当天,很多人即时会问,为什么港交所「披露易」没有后备系统?当然,这个疑团在港交所宣布事件是因为被黑客入侵所致后,答案就很清楚:后备系统在此情况下也基本上没有帮助,因为后备系统必定与原本系统是一样的,能攻破原本系统的,也必能同样击破相同的后备系统。所以,我们不应批评港交所没有后备系统。 不过,港交所在事发后翌日宣布的资料及对应措施,却令人对其应变准备有点担心。根据港交所的资料,他们的系统是遭到「数以百计」的「丧尸电脑」,从多个国家以「分散式阻截服务攻击」(DDoS,Distributed Denial of Service)指向「披露易」,令其系统瘫痪。虽然港交所承认之前也曾遭受黑客攻击,但他们却在这次事发后才「按警方建议及时加装过滤装置」(这是其「即时措施」之一),另外增加网络供应商提供的频宽(这是其「长期措施」之一),才减低企图入侵者的影响。如果以港交所这样的香港重要设施都只能做到这些,就真的令人胆战心惊了! 面对DDoS,並非束手无策 首先,今时今日,「数以百计」的「丧尸电脑」,其实已经不算是大规模的进攻,我们还不要与港交所「斤斤计较」,就当他们在数字上在现时阶段说得比较保守,將来可以修正,但港交所竟然要警方指教他们怎样做网络保安防御,不是笔者质疑警方能力,是港交所怎能后知后觉至此,在事前竟然没有足够的面对这最常见的DDoS的过滤系统? 但港交所的首席资讯科技总监却指出,这次的DDoS攻击技巧远较过往变化多端,「以极高频率发出大量攻击信息」,他们的专家也需要较多时间分析大量攻击信息,才能引入適当的过滤机制。这说法其实较为合理,但却与官方宣布不尽相同,易令公眾產生混乱,反映港交所的公关处理和讯息披露,未尽人意。 另外,事发后不少评论都指DDoS攻击难以防范,也很难追查发动者身分,但这说法也非必然。其实,技术上有较高机会被攻击的网站和系统,可以安装「入侵侦测系统」(IDS,intrusion detection system),协助採集入侵者的来源和资料,实行网络「CSI」,过去亦有案例,让执法部门成功追查到黑客来源。 例如,去年十二月初美国网上支付商Paypal取消「维基解密」(Wikileaks)的捐款户口,因而被企图报復的黑客攻击,Paypal的IDS系统发现了一千多个IP地址,並將之转交联邦研究局(FBI),结果,FBI在调查后发出了四十多个搜查令,在上月向十四人提出了检控。我们未能肯定港交所有没有像Paypal般的自我防御措施,但无论以前如何,希望他们未来都会有更足够的准备。 加强披露,挽回信心 未来港交所的改善措施,不能只包括现在已宣布的分散「披露易」的资料发放、装置过滤装置和增加频宽这些十分基本的措施。我们应该问的问题,包括港交所有否全盘的灾难復原计划,计划有否改善的空间?当然,因为风险原因,这些敏感的应变计划资料未必应该完全公开於世,但適当程度的披露,就和「披露易」本身的原意一样,有助公眾的知情和建立信心。 事件也令公眾、资讯科技界及尤其资讯保安专业人士关注到,港交所对资讯保安的重视和投放资源的水平,是否足够。港交所是香港在投资资讯科技方面最大的本地机构和企业之一,但他们的投资中有多少是直接投放在资讯保安?港交所和香港政府若能正视这次的网络安全事件,將对香港企业甚至政府本身未来对网络安全的重视,有长远和重要的正面影响。「披露易」被攻击而引起广泛社会关注,正是当局带头重视网络保安的好机会,淡化事件肯定是最错误的做法。 最后,传媒报导,港交所在事件后快速聘请了来自以色列的网络保安专家,远道来港协助处理。笔者不能不问,难道香港没有人能?小小的香港,已经拥有全亚洲第二最多的已考取「资讯系统保安专业认证」(CISSP)的人数,也拥有全球最具规模之一的网络安全管理企业。我们不要排外,但绝不应排內。 原文刊於信报论坛 2011.08.16 http://www.hkej.com/template/forum/php/forum_details.php?blog_posts_id=71784 一五一十部落原文链接 | 查看所有 0 个评论 莫乃光的最新更新: 谁玩转了大龙凤? / 2011-08-23 00:07 / 评论数( 7 ) 港推动 4G应放眼世界 / 2011-08-20 09:25 / 评论数( 0 ) IT界选民首次不增反减,更易操控! / 2011-08-16 12:33 / 评论数( 0 ) 自愿医保效益仍存问號 / 2011-08-15 13:59 / 评论数( 0 ) 「披露易」故障疑点多 / 2011-08-14 01:39 / 评论数( 0 )

阅读更多

莫乃光 | IT界选民首次不增反减,更易操控!

作者: 莫乃光  |  评论(0)  | 标签: 选举事务处 , 选民登记 , 资讯科技界 , 功能组別 选举事务处本周公布了临时选民登记册资料,在专业功能组別方面,几乎全部都一如既往,有正常选民登记的增加,但资讯科技界就一反常態,不增反减!以下是一些界別今年(2011)选民数字与上次有选举年(2008)的比较: 教育:88,581 -> 95,735 法律:6,109 -> 6,582 会计:22,273 -> 24,629 医学:10,604 -> 11,110 工程:8,323 -> 9,050 建筑、测量给规划:6,145 -> 6,770 资讯科技:5,743 -> 5,511 (以上数字是八月十六日上午选举事务处网站资料,数字一直有些微变动。) 过去,单仲偕做了十年立法会议员,每次选举年IT选民人数的变动是很规律的:整体数字增加约一成,但当中往往有二、三成选民不同了,反映IT界不少选民可能没有继续保持会藉以维持选民资格的问题。但为什么谭伟豪当了议员后,我们的选民不增反减?的確,谭伟豪今年在选民登记限期前没有很积极地呼吁选民登记(至少公开的於此)。 在详细分析前,IT界选民减少,初步可以估计原因为何?本来不是说IT界容易种票吗?在上次立法会选举至今,是否IT界已经对这功能组別死心,令新加入的选民不能像过往一般取代留失的选民的数目?如果真的选民继续减少,种票的比例就会比以前更显著,更能操控结果! 一五一十部落原文链接 | 查看所有 0 个评论 莫乃光的最新更新: 谁玩转了大龙凤? / 2011-08-23 00:07 / 评论数( 7 ) 港推动 4G应放眼世界 / 2011-08-20 09:25 / 评论数( 0 ) 「披露易」DDoS 事件引发的监管和技术质疑 / 2011-08-15 23:59 / 评论数( 0 ) 自愿医保效益仍存问號 / 2011-08-15 13:59 / 评论数( 0 ) 「披露易」故障疑点多 / 2011-08-14 01:39 / 评论数( 0 )

阅读更多

莫乃光 | 港推动 4G应放眼世界

作者: 莫乃光  |  评论(0)  | 标签: 4G , LTE 国务院副总理李克强在香港出席內地和香港经贸合作项目签约仪式,其中一项使华为技术与和记电话及香港电讯的「香港 Genius LTE」项目。这是甚么东西? 其实, LTE代表「长期演进」( Long Term Evolution),是一般被视为下一代「 4G」的技术標准之一,亦是大部份全球电讯网络商计划未来技术方向。笔者最初听到「 Genius LTE」,还以为是华为新產品,后来才想起, Genius Brand是和记电话及香港电讯的合营公司,是早前获得香港电讯管理局发出的四张宽频无线网络牌照之一的公司。所以,这次合约,是华为將为两家公司铺设 LTE无线网络,其高速数据服务的速度將超过 100Mbps。 台湾起步早 已佔商机 华为引述全球流动供应商协会发表的《 LTE演进》报告,全球商用 LTE网络中,一半已採用该公司方案,不久前香港第一家推出 LTE网络服务的 CSL,和最近签约的新加坡 M1,也採用其基建技术產品。今天 4G比较十多年前 3G,显然中国技术佔更重要甚至主导地位,亚洲市场开展 4G步伐,包括台湾和马来西亚先 WiMAX后 LTE的演进,较以前 3G发牌以欧洲领导,亚洲起步较早,地位固然重要得多。 以深圳为基地的华为得到香港数家网络商的青睞,香港作为买家除得到这项技术,市民將可享受高速数据服务,应用供应商可更快开发新的应用,除此以外,还有甚么得益? 回顾台湾经验,他们开展 WiMAX网络比香港的 LTE,早了最少两年,虽至今还將要「回归」 LTE,但其实路没白走,资源没有浪费,提前起步令他们得到 4G网络基建和发展商业模式的经验,还令台湾不少电子和科技厂商,得到参与製造相关產品的先机。 华为虽然拥有技术和產品,但中国本土推 4G服务恐怕要一段日子。香港业界在推动 4G时,不应只看本地市场,还须放眼亚洲甚至全世界。 香港虽不像台湾,无硬件方面优势,但本地应用和相关技术发展商和基建营运商,仍可利用香港的经验打出海外市场。 中港经贸合作,不应只视作互相买卖,如能利用作向外打出新路向,才算成功。 2011年8月13日 刋载於《苹果日报》 http://hk.apple.nextmedia.com/template/apple/art_main.php?iss_id=20110820&sec_id=15307&subsec_id=15320&art_id=15540699&cat_id=13702682&coln_id=10227748 一五一十部落原文链接 | 查看所有 0 个评论 莫乃光的最新更新: 谁玩转了大龙凤? / 2011-08-23 00:07 / 评论数( 7 ) IT界选民首次不增反减,更易操控! / 2011-08-16 12:33 / 评论数( 0 ) 「披露易」DDoS 事件引发的监管和技术质疑 / 2011-08-15 23:59 / 评论数( 0 ) 自愿医保效益仍存问號 / 2011-08-15 13:59 / 评论数( 0 ) 「披露易」故障疑点多 / 2011-08-14 01:39 / 评论数( 0 )

阅读更多

CDT/CDS今日重点

十月之声(2024)

【404文库】“再找演员的话,请放过未成年”(外二篇)

【404媒体】“等帘子拉开,模特已经换上了新衣”(外二篇)


更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间