(香港文匯報 記者 吳健怡)香港網絡保安頻頻出現危機,個人資料私隱專員公署及香港生產力促進局·網絡安全昨日共同公布「香港企業網絡保安準備指數及私隱認知度」調查發現,今年香港企業的網絡保安準備指數滑落至47點,較去年再挫6.3點,創設立該指數6年來最大跌幅。調查亦於9月透過電話訪問378間企業,發現超過七成受訪企業在過去12個月曾遇到至少一類網絡安全攻擊,釣魚攻擊繼續是中小企最常見的網絡安全攻擊。公署表示,正與政府緊密合作,審視個人資料私隱條例修訂,包括在企業和機構未有適時通報資料外洩事故時,建議引入行政罰款處理,以及引入強制舉報措施等。
七成企業過去一年曾受網攻
個人資料私隱專員鍾麗玲昨日出席調查發布會時表示,香港電腦保安事故協調中心在今年首9個月共計錄逾1.39萬宗事故報告,較去年同期飆升20.4%,當中最多屬「網絡釣魚」攻擊,其次為「殭屍網絡」攻擊。此外,截至10月底,公署今年共接獲119宗資料外洩通報,正與政府審視個人資料私隱條例修訂。
該署及生產力促進局今年9月亦透過電話訪問378間企業,發現「香港企業網絡保安準備指數」若以最高100點計算,今年只錄得47點。指數由「保安政策風險評估」、「技術控制」、「流程控制」和「建立員工意識」4個範疇組成,結果亦顯示「技術控制」因較少企業進行系統保安修補管理,或採取網絡威脅防禦措施,按年急挫11.2點。
據調查發現,逾七成受訪企業過去一年間曾遭受網絡安全攻擊,較去年再升8個百分點至歷年新高,「網絡釣魚」攻擊近乎是所有受影響企業最常遇到的網絡安全攻擊類型。尤其是網絡釣魚簡訊及社交媒體釣魚較去年常見,至於使用人工智能(AI)或生成式AI及使用二維碼的釣魚攻擊則成為新興現象,分別錄9%和8%。
鍾麗玲指出,情況與科技及社交媒體應用每日快速發展,令騙徒有機可乘利用新興科技詐騙有關,促請巿民要有所警惕,避免輕易提供銀行、電話號碼及身份證等資料。以QR Code釣魚攻擊為例,過去亦曾有通訊軟件被假冒QR Code網址,巿民若誤入很易遭黑客取得通訊錄資料等,造成風險。
生產力促進局數碼轉型部總經理陳仲文補充,AI技術可利用現有影像、影片或錄音資料,進行人面模仿及假扮聲音,且生成性文字模版亦已進化,變得更少語誤和像真,提醒巿民要實行「零信任」政策,避免提供敏感資訊,且要留意通話對象舉動與過去是否有差別,「如『老闆』突然要求匯大筆款項,不應馬上照辦,而應再作求證。」
建議加強培訓員工安全意識
調查亦發現逾半中小企未有考慮實施或採取不同保護私隱及資料保安措施。鍾麗玲認為,保護個人資料私隱與維護網絡安全不可或缺,建議不論大小企業均應實施私隱管理系統,以及制訂個人資料外洩應變計劃和通報機制,加強員工培訓及網絡安全意識,以加強數據治理及數據安全。
陳仲文認為,很多網絡攻擊之所以成功,是基於人員疏忽所致,其中「建立員工意識」分行指數,今年繼續於25點低位停留,反映人員的網絡安全意識有急切改善的需要,強烈建議企業盡快加強員工的網絡安全意識,包括定期為員工提供培訓,甚或定期進行網絡安全演習。
(來源:香港文匯報A02:要聞 2023/11/15)