網絡安全｜私隱署及生產力局調查：96%企業過去一年曾遇釣魚攻擊

香港個人資料私隱專員公署及香港生産力促進局・網絡安全今公布「香港企業網絡保安準備指數及私隱認知度」調查報告結果，指「香港企業網絡保安準備指數」錄得 47.0 點，較去年下挫6.3 點，是指數成立以來最大跌幅，中小企（43.6點）及大型企業（62.5點）的指數均錄得跌幅，分別下跌7.1點及4.1點，形容情況值得關注。

生產力局數碼轉型部總經理陳仲文指，為了解本地企業的網絡保安現狀及變化，私隱專員公署委託生產力局·網絡安全於今年9月以電話訪問309家中小企及69家大企業，而該378家企業分別來自零售和旅遊相關(27%)、製造、貿易和物流(26%)等行業，其中，資訊和通訊技術(48.6點)為唯一錄得升幅的行業(+2.2)，零售和旅遊相關(33.3點)則成為指數最低、且跌幅最大(-12.5)的行業。

陳仲文續指，指數由「保安政策風險評估」、「技術控制」、「流程控制」及「建立員工意識」4個範疇組成，除分數最低的人員意識上升0.1點外，另外3項均錄得5點或以上的跌幅。他分析，進行網絡保安風險評估的企業由去年五成急跌至今年的三成七，相信「保安政策風險評估」下跌8.9點與在風險評估方面的疏忽有關，至於下跌11.2點的「技術控制」分項，他則認為原因之一為保安更新及、修補漏洞及採取網絡威脅防護的企業都較去年有所減少。

截至9月，香港電腦保安事故協調中心(HKCERT)今年共錄得13 930宗事故 ，較去年同期大幅飆升20.4%，網絡釣魚佔逾五成。陳仲文表示，是次調查結果與HKCERT數據吻合；調查顯示，過去12個月內有73%企業曾遇到網絡安全攻擊，按年增加8個百分點，達歷年新高，其中更有七成二屬外部攻擊。

個人資料私隱專員鍾麗玲解釋，96%企業曾在過去12個月內遇到釣魚攻擊，並發現有11%企業曾遇「攻擊企業的網上服務帳戶」，成為企業過去12個月面對的第5大網絡安全攻擊 ；而在釣魚攻擊中，亦發現「假冒其他機構的網絡廣告」、「使用人工智能(AI)或生成式AI的釣魚攻擊」及「使用QR Code的釣魚攻擊」3種新攻擊。

她總結，企業未來12個月加強網絡保安面臨4大挑戰，包括「欠缺IT支援及管理人手」(44%)、「網絡保安需求隨時間變化，需要多樣化的投資」(42%)、「需要龐大的基建投資」(38%)，網絡保安預算較去年80%增長至82%，並有未來44%企業有計劃在未來12個月內加強網絡保安。
-
鍾麗玲有介紹私隱專員公署年度專題「私隱認知度」，指企業預計運用相關科技所涉及的私隱風險處於低及中分線之間；根據數據，僅37%企業於業務營運中有應用於任何新興科技，其中「會就應對使用相關科技所帶來的私隱風險提供到內部指引的，亦不足五成。有31%企業認為香港的個人資料私隱保障不足或嚴重不足，並有51%對保障水平持中立態度。
-
鍾麗玲認為，網絡保安是數碼轉型不可或缺的一部分，故企業應投放更多資源以達60至70點的級別。陳仲文建議企業定期進行網絡保安風險評估、加強系統保安修復管理、定期培訓所有員工，並對網絡釣魚及事故管理演習等。
-
鍾麗玲補充，為協助企業提升數據安全，私隱專員公署今日正式推出相關專題網頁、快測及熱線，成為企業能方便、快捷地得到保安提示、最新數據安全消息、私隱條例相關規定等訊息的一站式平台。