網絡攻擊勢續湧現一成屬高風險金融業最高危逾半重要基礎設施發生網絡安全事故

《保護關鍵基礎設施(電腦系統)條例草案》明年1月正式生效，警方為重要基礎設施定期進行「網絡資產安全評估」。結果發現，檢測的逾90,000個重要基礎設施的網絡資產，5%存在漏洞與弱點；逾半受訪機構去年至少面對一次網絡安全事故，其中金融業首當其衝。警方網絡安全及科技罪案調查科(網罪科)今日發表首份網絡安全報告，涵蓋全球和香港2024年的網絡安全形勢，冀市民和企業做好防禦和維護。

警方網罪科定期為重要基礎設施作「網絡資產安全評估」，檢測包括域名、IP地址和URLs等網絡資產所潛在的系統安全漏洞。網罪科(網絡安全、法理鑑證及訓練)高級警司梁靄琳指，去年檢測逾9萬個重要基礎設施的網絡資產，約5%存在不同程度的系統安全漏洞和弱點。其中89%屬中低風險，11%屬極高及高風險。她指，透過即時通報，所有重要基礎設施已即時採取補救措施，故未有影響服務。

根據網罪科今日發表的首份網絡安全報告的調查數據顯示，去年55%的重要基礎設施過去一年至少受到一次網絡攻擊或發生網絡安全事故，超過16次或以上的佔逾15%。報告又指，首三個受攻擊的「高危」行業依次為金融業(37%)、通訊業(25%)和政府部門(19%)。調查結果又指，最常見的網絡攻擊手法為欺詐電郵(39%)，其次為欺詐網站(26%)，阻斷服務或分散式阻斷服務攻擊則佔15%。

不少機構忽略網絡安全高風險漏洞有三類

梁靄琳指，屬極高和高風險漏洞可分為三類，其一為憑證外洩或盜用，當員工或公眾的登入憑證外洩或盜用，攻擊者即可透過未經授權接連關鍵系統，構成重大安全威脅。其次，是機構可被劫持的子域名，閒置的子域名或遭攻擊者利用，作釣魚或詐騙活動。最後是被暴露的雲端儲存服務，容易導致資料外洩及遭網絡攻擊。

該份網絡安全報告又指出，去年接受問卷調查的重要基礎設施中，92%自評對網絡威脅保持高度警覺；90%認為自身具備完善的網絡安全應變準備，反映設施營運者普遍認為自身保持高度警惕性和前瞻性。網罪科總警司林焯豪表示，評測反映不少機構忽略網絡安全，而屬高危的佔少數，重點是可及早修補。警方預測未來針對重要基礎設施的攻擊將陸續湧現，他指，目前香港已有有效的網絡防禦機制，而去年未有重要基礎設施因遭網絡攻擊而影響服務。警方建議，針對上述三類高風險漏洞，相關機構應採取針對措施。

網罪科今日發表首份網絡安全報告，涵蓋全球和香港去年的網絡安全形勢，以及預測來年的網絡安全威脅，並提供專家建議。林焯豪表示，報告冀向公眾傳達網絡威脅的存在和逼切性，提醒企業和市民做好網絡安全的防禦和維護。