陳仲文預計隨人工智能技術成熟,網絡攻擊將會大增。(蘇文傑攝)
數碼港資料外洩事故等引起網絡保安疑慮,電腦保安事故協調中心發言人陳仲文在專訪中表示,不少中小企對黑客攻擊存有誤解,不知黑客以工具自動尋找目標,非只針對資料較多的大企業,令保安薄弱的中小企易成目標,而約20%中小企沒有網絡保安預算,忽略事故後的開支或達保安措施成本的幾十倍。他又預告,隨人工智能成熟,未來黑客攻擊將大幅增加,中小企須盡快加強保安。
記者︰曾偉龍
數碼港等各機構接連發生資料外洩事故,電腦保安事故協調中心發言人陳仲文接受《am730》專訪時表示,本港商界的網絡安全意識一直不足,引述中心去年香港企業網絡保安準備指數只有47分,僅處於「有基本措施」水平,其中保安政策及風險評估和人員意識上表現尤差。
去年中小企受攻襲按年增10百分點
中小企普遍不熟悉黑客的行為,陳仲文表示,很多企業仍低估網絡安全風險,以為黑客只會針對較大規模的企業攻擊,但黑客普遍以工具搜尋,以取易不取難方式選擇攻擊目標,未必考慮企業本身規模,「用Tools(工具)去掃,都未必睇到公司大唔大、多唔多資料,見到冇update(更新或安裝修補程式),入咗去攞咗資料先睇重唔重要」,所以保安程度低的中小企反可能面對更大風險。中心去年調查有73%中小企在過去12個月內遭受網絡攻擊,按年增10個百分點。
陳仲文續指,企業較關注銷售營利,忽略因網絡保安措施不足招致的風險損失,以去年中心調查所知,近90%中小企的網絡安全預算不足10萬元,20%預算為0元;而相關預算不足10萬元的大型企業則有58%。陳仲文指,外國數據顯示,在網絡安全事故發生後的補償支出,往往是保安措施成本的幾十倍,但不少企業抱住「未殺到埋身」的心態,隨時招致損失。
系統未更新成最常見犯錯
被問及中小企的常犯錯誤,陳仲文指,根據中心接收的個案,不少企業經常沒有更新系統或安裝修補程式,或者使用含木馬程式的免費軟件,不少系統亦因沒有使用雙重驗證技術,令系統被盜用,部分個案是因有員工在不同帳戶使用同一密碼,當其個人帳戶資料被盜,黑客便可利用密碼嘗試登入該員工的企業帳戶,從而進入系統。
陳仲文又提醒,人工智能愈趨成熟,令成為黑客的技術門檻亦大幅降低,「用AI就可以生成惡意程式碼,或者釣魚網站介面或釣魚電郵,去暗網買已外洩嘅個人資料,幾仙一個……只要有錢,你都可以做到(黑客)」,人工智能亦助長了騙徒用「深偽」(Deepfake)技術假冒身份行騙。他認為,未來網絡攻擊成本肯定更低,去年中心處理逾3,700宗網絡釣魚事故,按年增27%,預計攻擊將大幅上升,中小企需盡快提升網絡保安水平,避免成為黑客目標。
▼2024年五大網絡保安風險▼
| 安全風險 | 內容 |
|---|---|
| 人工智能「武器化」 | 黑客利用生成式人工智能產生惡意程式碼發動攻擊,或產生欺詐數據癱瘓網絡保安措施 |
| 新一代釣魚攻擊 | 黑客可利用AI Deepfake技術製作虛假影片行騙 |
| 網絡犯罪趨向組織化 | 針對企業的勒索軟件攻擊增加,市民面對「毒App」和網絡釣魚威脅 |
| 針對智能設備的攻擊 | 新式電子產品大多具備網絡連接功能,但其網絡安全標準不一,易受入侵和惡意操控 |
| 使用第三方服務的風險 | 企業使用其他公司提供的IT服務,衍生供應鏈攻擊及公司內部網絡安全風險 |
資料來源︰電腦保安事故協調中心