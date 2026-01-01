香港 - 2026年1月28日 - 香港生產力促進局（生產力局）轄下的香港網絡安全事故協調中心（HKCERT）今日舉行傳媒簡介會，發表年度「香港網絡安全展望2026」。報告指出，隨著人工智能（AI）技術迅速普及，網絡攻擊變得更具自動化、針對性和破壞力，威脅企業營運及資訊安全。2025年本港錄得15,877宗網安事故，按年上升27%，創下歷年新高。報告同時預測2026年將有五大網絡安全風險浮現，主要分為AI 應用及供應鏈風險兩大類。



HKCERT同日發表「香港企業網絡安全現況」研究結果，分析本地企業在面對網絡風險時的防禦能力與資源配置現況。是次研究涵蓋622間企業（包括544間中小企及78間大企業），並訪問50間網絡安全服務供應商，評估本地企業選擇網絡安全服務時的重要因素。研究顯示，七成企業有設網絡安全人手，反映本地企業對網絡防禦的重視程度逐步提升。當中不少中小企亦已著手加強保安部署，展現積極應對威脅的意識，惟在技術應用層面及資源投放方面，與大型企業相比仍存在一定差距。另外，35%使用AI的企業表示會輸入公司資料至AI工具，顯示本地整體防禦能力及AI管治意識仍有進一步提升的空間。



生產力局首席數碼總監黎少斌先生表示：「AI技術普及可以推動創新，但亦可成為黑客的利器，使網絡威脅更趨隱蔽且規模更大。報告顯示，企業在使用AI工具方面普遍缺乏清晰規範，特別是中小企在資源和認知上的限制，令他們未必充分了解當中潛在風險。此外，供應鏈攻擊已成為企業安全防線中最脆弱的一環，即使企業本身的防護措施完善，單一合作方的漏洞足以引發連鎖危機。面對這些挑戰，企業必須從被動應對轉向主動部署，著手制定明確的AI使用規範與審核機制，深度整合至企業的整體網絡安全策略之中。」



2025年網安事故概況：



釣魚攻擊佔近六成事故宗數破紀錄



根據HKCERT最新統計，2025年共錄得15,877宗網安事故，其中網絡釣魚攻擊持續成為最主要的威脅來源，佔整體事故近六成（57%）。由於生成式AI令釣魚訊息更具真實感，亦更難辨識，進一步加劇網絡安全風險。釣魚攻擊場景亦正由傳統電郵蔓延至社交媒體或即時通訊平台（如WhatsApp）（34%）、加密貨幣平台（18%）等。



同時，易受攻擊系統的個案亦顯著增加（2,328宗，佔整體事故15%），較去年上升超過3.5倍，顯示系統配置錯誤及未及時修補漏洞，已形成網絡安全缺口。殭屍網絡（Botnet）個案則與去年相約（18%），雖然呈不變趨勢，但殭屍網絡本身極難徹底清除，是長期潛伏的威脅來源。



2026年五大網絡安全風險



根據行業專家分析及生產力局對本地企業環境的持續研究，綜合業界趨勢與技術發展，HKCERT預測以下五大網絡安全風險將於2026年對企業構成重大挑戰：



1.AI驅動的網絡攻擊與代理式AI風險（Agentic AI）

隨着AI技術日益進步，黑客亦開始利用AI進行更高階的攻擊。尤其是具備自主學習與執行能力的代理式AI，能夠在無需人手介入的情況下自行判斷並採取實際行動，一旦被黑客入侵，將自動執行潛在惡意指令，令攻擊更難預測與防範。



2. 企業AI規管薄弱加劇資料外洩影響

在缺乏內部AI管治框架的情況下，企業敏感資料（如客戶資訊、合約內容等）可能因員工誤用公共AI平台而外洩。常見情況包括：員工使用未經授權工具，且對平台隱私聲明理解不足，誤判資料安全性，繼而輸入敏感內容，造成實際洩漏。



3.供應鏈漏洞及第三方安全缺口

企業在業務過程中愈來愈依賴外判服務及第三方平台處理業務流程，然而當這些合作夥伴遭受網絡攻擊或安全系統有漏洞時，亦會嚴重影響企業的網絡安全。即使企業本身的防禦措施完善，也可能因合作方出現漏洞而間接受害。



4.過度依賴雲端基礎設施導致單一故障點

雲端平台已成為企業日常營運的基礎設施，包括資料儲存、應用部署、通訊及備份等。然而，過度依賴單一雲端供應商而缺乏備援方案，將令企業在遇上平台故障或供應商中斷服務時無法運作。



5.具AI功能設備的新興威脅

隨着智能設備（如語音助理、辦公或客服機械人等）廣泛應用於營運環節，這些具AI功能的設備開始暴露出潛在的安全風險。這些設備通常會配置大型語言模型以協助理解與解析人類指令。然而，隨著大型語言模型被嵌入實體系統，其原本存在於數字環境中的安全漏洞，也可能進一步延伸並影響現實世界。若缺乏嚴謹的驗證機制，極易受到錯誤指令或語音欺騙影響，而執行危險動作。



近三成企業仍無人手負責網安中小企防禦力與投資有待加強

「香港企業網絡安全現況」結果顯示，超過七成（71%）企業有設立網安人員，反映整體對網安工作的重視程度正逐步提升。按企業規模劃分，67%的中小企有員工負責網絡安全，而大企則有超過九成（95%）。其中，26%中小企設有專職網安人員，與大企業的59%相比仍有差距，反映不同規模企業在資源配置與專業支援方面存在不同挑戰。



不少中小企已部署基本防護措施，例如有48%中小企採用電郵保安方案，但相比大企業的79%，仍有進一步提升空間。至於特權存取管理（PAM）方面，中小企的採用率為29%，亦低於大企業的60%。進階防護技術如資料保護措施（中小企39%，大企72%）方面，亦反映中小企在推動技術升級方面仍需支援，尤其在數據安全日益重要的今天，大中小企的防護同樣不可忽視。



在資源投放方面，雖然中小企整體投入較為審慎，但已有部分企業逐步加強網安投資與培訓。過去一年，13%的中小企增加了網安相關資源（人手、設備等），而在網安培訓方面，亦有12%的中小企加大投入。相對而言，大企業的比例分別為41%及50%。展望未來12個月，中小企在增聘網安人手（中小企5%，大企15%）、培訓（中小企13%，大企38%）、預算（中小企13%，大企36%）等方面的規劃較為保守，但隨着威脅形勢演變，相信企業將逐步提升相關投入，以強化整體防禦能力。



HKCERT五大建議：助企業建立有效網安防禦機制



HKCERT提出五項建議，涵蓋政策制定、技術實施及員工參與三大範疇，協助企業建立全面防禦機制﹕

