「香港企业网络保安准备指数」出炉 较去年跌6.3点 创历来最大跌幅
2023-11-14 12:34 
本港网络保安现危机。个人资料私隐专员公署及香港生产力促进局‧网络安全在今日(14日)共同公布「香港企业网络保安准备指数及私隐认知度」调查结果,今年香港企业网络保安准备指数滑落至47点,较去年再挫6.3点,创下设立指数6年来最大跌幅。今年调查涉及378间企业,涉零售和旅游相关、制造、贸易和物流、金融服务等领域,当中309间属中小企,其指数跌幅亦最大,下滑7.1点,至43.6点。69间参与调查的大型企业,指数则跌4.2点,至62.5点。
锺丽玲︰首9个月共计录逾1.39万宗事故报告 较去年同期飙升20.4%
个人资料私隐专员锺丽玲指,香港电脑保安事故协调中心在今年首9个月共计录逾1.39万宗事故报告,较去年同期飙升20.4%,当中最多属「网络钓鱼」攻击,达51%,其次为「僵尸网络」攻击,占46%。受访企业在过去12个月,曾遭受网络安全攻击占比亦创历年新高,达73%;72%企业曾受外部攻击,亦创历年新高。同时,过去12个月中有高达96%企业均曾受「钓鱼攻击」威胁。
企业遭受「钓鱼攻击」种类︰
| 种类 | 占比 | 升降 |
| 网络钓鱼电子邮件 | 79% | 跌4% |
| 假冒其他机构的网络广告 | 45% | 新种类 |
| 网络钓鱼电话 | 35% | 升3% |
| 网络钓鱼简讯 | 34% | 升14% |
| 社交媒体钓鱼 | 16% | 升6% |
| 使用AI或生成式IAI的钓鱼攻击 | 9% | 新种类 |
| 使用QR Code的钓鱼攻击 | 8% | 新种类 |
陈仲文︰强烈建议企业加强员工的网络安全意识
生产力促进局数码转型部总经理陈仲文指,针对钓鱼攻击几乎出现在所有受访企业,且攻击方式变得较以往像真及多样化,强烈建议企业除增加在「网络保安风险评估」、「系统保安修补管理」、「网络威胁防御措施」投放外,亦应尽快加强员工的网络安全意识,定期为所有员工提供培训及网络安全演习。他坦言,人类是网络安全中最薄弱环节,「很多网络攻击之所以成功,都是由人员疏忽导致。」
锺丽玲指,今年亦对企业「私隐认知度」进行专题调查,结果发现企业整体认为运用新兴科技有私隐风险,以5分为最高,风险平均值达2.75分至3.06分,最多企业认为运用生成式人工智能所涉私隐风险最高,其次为Cookies和其他线上追踪器,云端计算及物联网紧随其后。而正运用相关科技的37%企业中,仅约一半有提供相应内部指引应对私隐风险。整体而言,逾半中小企未有考虑实施不同保护私隐及资料保安的措施。她建议,企业不论大小,亦应采取保护个人资料私隐措施,如制定个人资料外泄应变计划及通报机制等,以加强数据治理及数据安全。
锺丽玲指,近四分三受访企业在过去12个月最少遭到1种网络安全攻击,数字上升主要来自更多中小企受到网络安全攻击,升幅较去年同期多10个百分点。
就钓鱼攻击在1年间多出3项新种类,锺丽玲指情况与科技及社交媒体应用每日快速发展,令骗徒有机可乘利用新兴科技诈骗相关,促巿民要有所警剔,避免轻易提供银行、电话号码及身份证等资料。以QR Code钓鱼攻击为例,过去亦曾有通讯软件被假冒QR Code网址,巿民若误入很易遭黑客取得通讯录资料等,造成风险。陈仲文补充,AI技术可利用现有影像、影片或录音资料,进行人面模仿及假扮声音,且生成性文字模版亦已进化,变得更少语误和像真,提醒巿民要实行「零信任」政策,避免提供敏感资讯,且要留意通话对象举动与过去是否有差别,「如老板突然要求汇大笔款项,不应马上照办,而应再作求证。」
陈仲文指,今次指数录得6年新低是一个警号,除「建立员工意识」持续在25点低位徘徊,「保安政策风险评估」挫8.9点,「技术控制」亦因企业减保安修补管理及网络防御措施而挫11.2点,均是令指数低迷成因。
锺丽玲又透露,截至今年10月底,公署接获逾119宗资料外泄通报,当中公营机构占三成,私营机构占七成。她指,公私营机构均面临网络及数据安全威胁,现时正与政府紧密合作,审视修订私隐条例,包括在企业和机构未有适时通报资料外泄事故时,建议引入行政罚款处理;也建议引入强制举报措施等。对康文署SmartPLAY出现资料泄漏风险,锺指截至今早未收到投诉,初步已与相关机构联络跟进。
记者:脱芷晴
---
《星岛头条》APP经已推出最新版本,请立即更新,浏览更精彩内容:https://bit.ly/3yLrgYZ
最新回应