2024-02-22 07:30:00

初創發展加入安全設計應付多元化網絡威脅

雲端安全解決方案供應商Barracuda的最新報告揭示，網絡駭客在全球各地的攻擊均有上升趨勢。而隨著人工智能的發展，駭客活動更日益猖獗，網絡安全遂成為迫在眉睫的重要議題。

PwC：Secure By Design 有助提高企業可信度

在香港，有企業為規模各異的機構提供網絡安全服務，努力為香港建立網絡安全防線。羅兵咸永道香港（PwC Hong Kong）是數碼港專業服務網絡（CPN）成員，一直為初創企業提供培訓、諮詢及技術支援等多元化的網絡安全服務，為企業把關。在網絡安全行業深耕多年、羅兵咸永道香港網絡安全及私隱服務合夥人顏國定（KT）認為，「隨著網絡空間愈來愈廣闊，更多企業進行數碼轉型，無論對網絡安全專家抑或駭客而言，目前是最興盛的時期。」他又指出，在網絡安全的行業中，多因素認證（MFA）、兩步驟驗證（Two-step Verification）等都是相當重要的。然而，當PwC為初創企業進行網絡安全檢測時，往往發現香港許多網站尚未有實施兩步驟驗證，情況有待改善。

KT坦言，香港目前針對網絡駭客的法規明顯跟不上，他認為正在籌備的《網絡安全法》實屬好事。「正如香港金融業得以成功，是由於反洗錢（anti money laundering）的機制成熟，有利於行業的鞏固；同樣地，網絡安全法和隱私法旨在加固保護香港的數碼生態環境，可發揮積極作用。」

PwC從企業的初創成長階段，就一直致力提高其安全意識，KT甚為欣賞數碼港在培育計劃中加入安全設計（Secure By Design）的做法，要求初創須於培育期內完成網絡安全的培訓，及為產品進行網絡安全檢測，以確保初創產品及平台在推出市場前，減少潛在高風險的網絡安全漏洞。他認為「信任」是重中之重，「誠如蘋果行政總裁Tim Cook的主題演講，第一個重點是講述信任（Trust），而並非急於介紹新的產品，反映平台、企業的可信度非常重要，這正是『Secure By Design』的精髓所在。」

Network Box：紅隊藍隊滲透測試提升保安水平

另一間與數碼港合作頻繁的網絡保安公司Network Box札根香港逾25年，其董事總經理Michael Gazeley坦言香港企業老闆對網絡保安的意識仍然有待改善。「儘管黑客消息不絕於耳，惟中小企對電腦保安仍然視而不見，當作與自己無關。」他認為這種想法實屬不智，因為黑客「遲早會敲門」。

Network Box過往接觸不少企業，均以成本過高為由，擱置加強保安。Michael表示這只是坊間迷思，又表示如要保護規模由5至30人不等的中小企，由硬件、軟件、服務、安排到維修，每月大概只是2,000港元左右，成本算不上昂貴。「但如果公司系統被黑客入侵，企業組織陷入停頓，客戶資料遭竊取，有可能因失譽而導致整間公司倒閉的風險，那麼成本才是真正的『高昂』。」翻查Barracuda報告就顯示，機構應對黑客侵害的平均年度成本，已高達534萬美元。

至於規模較大的企業，更加有隱瞞事件和支付贖金的傾向。Barracuda調查發現，71%受訪者在過去一年中遭受了勒索軟體攻擊，其中61%支付了贖金。Michael直言情況普遍，指出不少大型機構甚或上市公司，在出事後第一個出發點就是隱瞞，或繳付贖金企圖抑制事件。他認為此風絕不可長，除間接增加了黑客再勒索的風險，「亦令香港社會普遍有個假像及假思想，以為（被黑客入侵）情況不是那麼差。」

有見及此，對於數碼港的Secure By Design要求，Michael深表贊同，亦正積極與數碼港洽談，為初創企業提供「紅隊（Red Team）藍隊（Blue Team）滲透測試」，查找漏洞，提升其保安水平。再者，全球已進入Web 3時代，去中心化乃未來大勢，Michael更稱這類Web3企業更加需要進行嚴謹的滲透測試，確保其產品或服務不含任何漏洞或後門給予乘虛而入，方可為客戶提供信心。