錯誤短訊|港府防誤洩密 測試數據宜分隔
原文刊於信報財經新聞「CEO AI⎹ EJ Tech——智情筆報」
日前有政府部門意外透過手機短訊,提早一日把小一統一派位結果,先行錯誤發送予部分家長。當局目前的官方說法是「操作偏差」,並且強調事件不涉及外判商服務問題,似乎暗示事件背後涉及相關公職人員行為失誤。
外界普遍推測事件源於測試流程失當。資訊科技商會榮譽會長方保僑便懷疑,原因可能是其測試環境與正式環境的參數混淆;新民黨立法會議員陳家珮也推測,當局事前或想做隨機測試,卻誤用了實際數據操作。
類似先例其實早就發生過:2022年4月,一名選舉事務處職員發送給多位選舉委員會委員的測試電郵,錯誤帶上了記錄其他真實個人資料的附件,事後調查報告直接指出,「職員在發出測試電郵前,並未再三確認該電郵沒有夾附其他不適當的附件。」
稍具基礎資訊科技知識的人都會曉得,測試環境須跟真實工作系統隔離獨立,並且需要使用模擬數據,以免出現洩漏數據風險。就連今年初保安局推出《保護關鍵基礎設施(電腦系統)條例》實務守則,亦有特別指出,「營運者應設有非生產環境,以進行開發及測試」及「生產數據應獲授權方可在測試環境中使用」。
根據數字政策辦公室接獲的政府資訊保安事故數字,特區政府於2022年至2025年間,共計發生12宗洩漏電子保密資料事故、16宗遺失存有保密資料硬件事故,以及3宗濫用資訊系統事故。它們純屬負責人員自身疏忽所致,沒有任何歸咎外部因素餘地。
培養網安意識 引入審計機制
另一方面,就算是黑客入侵、勒索軟件等外部攻擊,其背景可能也涉及一些內部不當行為,例如有人沒使用複雜密碼、將內部保密資料放上公共網絡,或者下載及安裝帶有惡意軟件的程式,因此未必就跟人為疏忽完全無關。
官員近年力推應用人工智能(AI),最近甚至推廣全民AI培訓,但若政府內部原來基礎網絡保安意識欠奉,簡單的技術系統配置都缺乏嚴謹把關,沒有遵守相關的守則、規例及程序,那麼公眾如何相信他們能夠以身作則,可靠地引入更複雜的AI決策系統?
真正的技術素養,無法靠完成了多少項課程、花了多少預算一類數字堆砌而成。推廣AI的前提是具備基本技術判斷力,只有當政府內部先建立起嚴謹測試文化與流程紀律,並引入具體追責與獨立審計機制,才能真正支撐推動數碼轉型與全民AI的宏大目標。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
