鍾麗玲(左)和陳仲文(右)。(陳詠琳攝)
生活科技化、數碼化,小市民生活離不開與互聯網聯繫,企業網絡保安尤為重要。但最新「香港企業網絡保安準備指數」今年錄得47.0點(最高100點),較去年跌6.3點,是有記錄以來最大跌幅。無論中小企和大型企業指數均下跌。調查機構認為,與較少企業進行網絡保安風險評估、系統保安修補,以及採取網絡威脅防禦措施等原因有關。
私隱專員公署和生產力促進局聯合發布「香港企業網絡保安準備指數」最新報告,指數由「保安政策風險評估」、「技術控制」、「流程控制」和「建立員工意識」組成。「流程控制」(68.1點)續於所有分項指數居首,屬「具管理能力」級別。因較少企業做系統保安修補管理和網絡保安風險評估,致「技術控制」急挫11.2點,至55.1點,而「保安政策風險評估」亦減少8.9點至39.7點的歷來低點,而「建立員工意識」繼續在25點低位停留。
按行業分類,金融服務業(64.9點)及資訊和通訊技術業(63.3點)續並列「具管理能力」級別,當中資訊和通訊技術業更是唯一於本年錄得指數增幅的行業。製造、貿易和物流業(48.6,-8.9點)及零售和旅遊相關行業(33.3,-12.5點)錄得較大跌幅,而後者更跌至「措施不一致」級別。
73%企業遇最少一類網絡安全攻擊
73%受訪企業在過去12個月內曾遇到最少一類網絡安全攻擊,較去年再飆升8個百分點至歷來新高。更多中小企受網絡安全攻擊,較去年升10個百分點。96%受釣魚攻擊,當中網絡釣魚電子郵件(79%)及網絡釣魚電話(35%)等最常見外,網絡釣魚簡訊(34%,+14百分點)及社交媒體釣魚(16%,+6百分點)亦開始增加。而新興的釣魚攻擊模式,包括使用人工智能(AI)或生成式AI及使用二維碼的釣魚攻擊則分別錄得9%及8%。香港電腦保安事故協調中心(HKCERT)最新推出的「網絡釣魚 全城防禦」網上專頁,提供「一站式」防釣魚資訊。
負責調查的生產力局數碼轉型部總經理陳仲文指出,指數大跌,主因企業在「網絡保安風險評估」鬆懈,減少做「系統保安修補管理」及「網絡威脅防禦措施」。他稱,大多數網絡攻擊其實是可以被偵測及預防,所以人員仍然是網絡安全的關鍵,只要提高員工的網安意識,將有助預防攻擊的發生。陳仲文提醒,採用AI的釣魚攻擊或會用上深偽技術(Deepfake)來模仿人臉,這時可要求對方移近和移遠鏡頭,來觀察人臉變化有否出現異樣,以判斷身份的真偽。
另外,正運用這些科技的企業(37%),僅48%有提供相應內部指引,以應對相關科技所帶來的私隱風險。就使用生成式人工智能而制定相關指引的企業亦只有41%。私隱專員鍾麗玲指,今年首10個月,專員公署已接獲119宗私隱外洩通報,公營機構佔三成、私營機構佔七成,公署已建議政府加強罰則,以確保企業妥善保護個人私隱。她強調,企業應維護網絡安全,以保護個人私隱,並加強員工培訓和網絡安全意識。