「香港企業網絡保安準備指數」出爐 較去年跌6.3點 創歷來最大跌幅
2023-11-14 12:34 
本港網絡保安現危機。個人資料私隱專員公署及香港生產力促進局‧網絡安全在今日(14日)共同公布「香港企業網絡保安準備指數及私隱認知度」調查結果,今年香港企業網絡保安準備指數滑落至47點,較去年再挫6.3點,創下設立指數6年來最大跌幅。今年調查涉及378間企業,涉零售和旅遊相關、製造、貿易和物流、金融服務等領域,當中309間屬中小企,其指數跌幅亦最大,下滑7.1點,至43.6點。69間參與調查的大型企業,指數則跌4.2點,至62.5點。
鍾麗玲︰首9個月共計錄逾1.39萬宗事故報告 較去年同期飆升20.4%
個人資料私隱專員鍾麗玲指,香港電腦保安事故協調中心在今年首9個月共計錄逾1.39萬宗事故報告,較去年同期飆升20.4%,當中最多屬「網絡釣魚」攻擊,達51%,其次為「殭屍網絡」攻擊,佔46%。受訪企業在過去12個月,曾遭受網絡安全攻擊佔比亦創歷年新高,達73%;72%企業曾受外部攻擊,亦創歷年新高。同時,過去12個月中有高達96%企業均曾受「釣魚攻擊」威脅。
企業遭受「釣魚攻擊」種類︰
| 種類 | 佔比 | 升降 |
| 網絡釣魚電子郵件 | 79% | 跌4% |
| 假冒其他機構的網絡廣告 | 45% | 新種類 |
| 網絡釣魚電話 | 35% | 升3% |
| 網絡釣魚簡訊 | 34% | 升14% |
| 社交媒體釣魚 | 16% | 升6% |
| 使用AI或生成式IAI的釣魚攻擊 | 9% | 新種類 |
| 使用QR Code的釣魚攻擊 | 8% | 新種類 |
陳仲文︰強烈建議企業加強員工的網絡安全意識
生產力促進局數碼轉型部總經理陳仲文指,針對釣魚攻擊幾乎出現在所有受訪企業,且攻擊方式變得較以往像真及多樣化,強烈建議企業除增加在「網絡保安風險評估」、「系統保安修補管理」、「網絡威脅防禦措施」投放外,亦應盡快加強員工的網絡安全意識,定期為所有員工提供培訓及網絡安全演習。他坦言,人類是網絡安全中最薄弱環節,「很多網絡攻擊之所以成功,都是由人員疏忽導致。」
鍾麗玲指,今年亦對企業「私隱認知度」進行專題調查,結果發現企業整體認為運用新興科技有私隱風險,以5分為最高,風險平均值達2.75分至3.06分,最多企業認為運用生成式人工智能所涉私隱風險最高,其次為Cookies和其他線上追蹤器,雲端計算及物聯網緊隨其後。而正運用相關科技的37%企業中,僅約一半有提供相應內部指引應對私隱風險。整體而言,逾半中小企未有考慮實施不同保護私隱及資料保安的措施。她建議,企業不論大小,亦應採取保護個人資料私隱措施,如制定個人資料外洩應變計劃及通報機制等,以加強數據治理及數據安全。
鍾麗玲指,近四分三受訪企業在過去12個月最少遭到1種網絡安全攻擊,數字上升主要來自更多中小企受到網絡安全攻擊,升幅較去年同期多10個百分點。
就釣魚攻擊在1年間多出3項新種類,鍾麗玲指情況與科技及社交媒體應用每日快速發展,令騙徒有機可乘利用新興科技詐騙相關,促巿民要有所警剔,避免輕易提供銀行、電話號碼及身份證等資料。以QR Code釣魚攻擊為例,過去亦曾有通訊軟件被假冒QR Code網址,巿民若誤入很易遭黑客取得通訊錄資料等,造成風險。陳仲文補充,AI技術可利用現有影像、影片或錄音資料,進行人面模仿及假扮聲音,且生成性文字模版亦已進化,變得更少語誤和像真,提醒巿民要實行「零信任」政策,避免提供敏感資訊,且要留意通話對象舉動與過去是否有差別,「如老闆突然要求匯大筆款項,不應馬上照辦,而應再作求證。」
陳仲文指,今次指數錄得6年新低是一個警號,除「建立員工意識」持續在25點低位徘徊,「保安政策風險評估」挫8.9點,「技術控制」亦因企業減保安修補管理及網絡防禦措施而挫11.2點,均是令指數低迷成因。
鍾麗玲又透露,截至今年10月底,公署接獲逾119宗資料外洩通報,當中公營機構佔三成,私營機構佔七成。她指,公私營機構均面臨網絡及數據安全威脅,現時正與政府緊密合作,審視修訂私隱條例,包括在企業和機構未有適時通報資料外洩事故時,建議引入行政罰款處理;也建議引入強制舉報措施等。對康文署SmartPLAY出現資料洩漏風險,鍾指截至今早未收到投訴,初步已與相關機構聯絡跟進。
記者:脫芷晴
---
《星島頭條》APP經已推出最新版本,請立即更新,瀏覽更精彩內容:https://bit.ly/3yLrgYZ
最新回應