港企网络不安全 研罚款打击

本港企业网络保安风险上升。最新「香港企业网络保安准备指数」创历来最大跌幅，较去年急挫6.3点，当中企业的「保安政策及风险评估」、「技术控制」及「人员意识」成最大弱项。个人资料私隐专员公署指，过去12个月有四分三企业面临网络安全攻击，几乎全部企业均遭「钓鱼攻击」威胁。另截至今年10月底，公署已接获119宗资料外泄报告，当中公营机构占三成，现正与政府审视私隐条例，建议在机构未有适时通报外泄事件时，可作行政罚款。

私隐专员公署及香港生产力促进局昨发布「香港企业网络保安准备指数」，今年有378间企业受访，涵盖金融服务、零售及旅游相关等6个行业。结果发现，以100点为最高，今年指数较去年跌6.3点至47点，创设立指数6年来最大跌幅。参与调查的309间中小企情况较差，指数仅43.6点，较去年挫7.1点；69间大型企业则录62.5点，较去年跌4.1点。
「员工意识」成弱项

生产力促进局数码转型部总经理陈仲文指，指数录新低是警号，当中「建立员工意识」持续在25点低位徘徊，「保安政策风险评估」和「技术控制」分别挫8.9点和11.2点，反映企业有所松懈。他坦言，人类是网络安全中最薄弱环节，「很多网络攻击之所以成功，都是由人员疏忽导致，企业应定期为所有员工进行培训及提供网络安全演习。」

私隐专员锺丽玲指，香港电脑保安事故协调中心在今年首9个月，共计录逾1.39万宗事故报告，较去年同期飙升20.4%；当中51%属「网络钓鱼」攻击。另高达73%企业曾在过去12个月遇到网络安全攻击，72%曾遭外部攻击，均创新高；中小企遭受攻击数量，更较去年同期多10个百分点。
电脑保安事故飙20.4%

同时网络安全攻击中，高达96%属「钓鱼攻击」，当中3类属过去1年出现的新品种，包括「假冒其他机构的网络广告」、「使用人工智能（AI）或生成式AI的钓鱼攻击」、「使用QR Code的钓鱼攻击」，各占钓鱼攻击的45%、9%和8%。
吁防范AI及QR Code钓鱼陷阱

锺丽玲指，钓鱼攻击品种增加，反映随科技及社交媒体应用快速发展，予骗徒可乘之机，促巿民要有警觉，避免轻易提供身份证、电话号码或银行户口等资料。以QR Code钓鱼攻击为例，曾有通讯软件遭假冒网址，若巿民误扫假QR Code，或被套取通讯录资料。

陈仲文补充，AI技术可利用现有影片、影像及录音资料，进行人面或声音模仿，生成式文字模版成熟，也令「机械文章」更似真人，故巿民面对外来信息要「零信任」，避免提供敏感资料。

对处理机构外泄资料问题，锺丽铃称现正与政府审视修订私隐条例，包括引入强制举报、赋权公署行政罚款能力等。她强调不论规模大小、属公营或私营机构，一律要采取保护个人资料措施，如制订应变计划及通报机制。