港企網絡不安全 研罰款打擊

本港企業網絡保安風險上升。最新「香港企業網絡保安準備指數」創歷來最大跌幅，較去年急挫6.3點，當中企業的「保安政策及風險評估」、「技術控制」及「人員意識」成最大弱項。個人資料私隱專員公署指，過去12個月有四分三企業面臨網絡安全攻擊，幾乎全部企業均遭「釣魚攻擊」威脅。另截至今年10月底，公署已接獲119宗資料外洩報告，當中公營機構佔三成，現正與政府審視私隱條例，建議在機構未有適時通報外洩事件時，可作行政罰款。

私隱專員公署及香港生產力促進局昨發布「香港企業網絡保安準備指數」，今年有378間企業受訪，涵蓋金融服務、零售及旅遊相關等6個行業。結果發現，以100點為最高，今年指數較去年跌6.3點至47點，創設立指數6年來最大跌幅。參與調查的309間中小企情況較差，指數僅43.6點，較去年挫7.1點；69間大型企業則錄62.5點，較去年跌4.1點。
「員工意識」成弱項

生產力促進局數碼轉型部總經理陳仲文指，指數錄新低是警號，當中「建立員工意識」持續在25點低位徘徊，「保安政策風險評估」和「技術控制」分別挫8.9點和11.2點，反映企業有所鬆懈。他坦言，人類是網絡安全中最薄弱環節，「很多網絡攻擊之所以成功，都是由人員疏忽導致，企業應定期為所有員工進行培訓及提供網絡安全演習。」

私隱專員鍾麗玲指，香港電腦保安事故協調中心在今年首9個月，共計錄逾1.39萬宗事故報告，較去年同期飆升20.4%；當中51%屬「網絡釣魚」攻擊。另高達73%企業曾在過去12個月遇到網絡安全攻擊，72%曾遭外部攻擊，均創新高；中小企遭受攻擊數量，更較去年同期多10個百分點。
電腦保安事故飆20.4%

同時網絡安全攻擊中，高達96%屬「釣魚攻擊」，當中3類屬過去1年出現的新品種，包括「假冒其他機構的網絡廣告」、「使用人工智能（AI）或生成式AI的釣魚攻擊」、「使用QR Code的釣魚攻擊」，各佔釣魚攻擊的45%、9%和8%。
籲防範AI及QR Code釣魚陷阱

鍾麗玲指，釣魚攻擊品種增加，反映隨科技及社交媒體應用快速發展，予騙徒可乘之機，促巿民要有警覺，避免輕易提供身份證、電話號碼或銀行戶口等資料。以QR Code釣魚攻擊為例，曾有通訊軟件遭假冒網址，若巿民誤掃假QR Code，或被套取通訊錄資料。

陳仲文補充，AI技術可利用現有影片、影像及錄音資料，進行人面或聲音模仿，生成式文字模版成熟，也令「機械文章」更似真人，故巿民面對外來信息要「零信任」，避免提供敏感資料。

對處理機構外洩資料問題，鍾麗鈴稱現正與政府審視修訂私隱條例，包括引入強制舉報、賦權公署行政罰款能力等。她強調不論規模大小、屬公營或私營機構，一律要採取保護個人資料措施，如制訂應變計劃及通報機制。