近年本港網絡安全問題愈來愈多,新聞不時報道有機構遭黑客入侵,香港生產力促進局首席數碼總監黎少斌表示,現時最大比例的網絡攻擊是一些針對人的攻擊,即不是黑客強行找一個漏洞進入企業系統,而是可能傳送虛假電郵給用戶,誘使用戶提供電郵帳號和密碼。因此,黎少斌提醒,人的意識很重要,並強調維護網絡安全不單是IT部門的責任,也是每個員工的責任。
明報記者:袁國守
近年多了企業遭黑客入侵,究竟哪些行業及機構面對較高網絡安全風險呢?黎少斌表示,根據生產力局做的一項調查,發現2024年大企業和中小企業受到網絡攻擊的比例都是差不多,這跟過去幾年有一點不同,以往可能因攻擊也有成本,黑客當然嘗試攻擊一些大企業以獲得贖金,但隨着近年來愈來愈多人懂得利用人工智能去做攻擊,相對來說攻擊成本有下降趨勢,所以變成一個「大包圍」攻擊,即是說中小企也可能是黑客的入侵目標。行業方面,黎少斌說,各行各業遇上網絡安全問題的比例都差不多,沒有一個行業特別多。
常見網絡「釣魚」手法詐騙
黎少斌表示,現時最多見到的網絡攻擊是「釣魚」,例如黑客傳送一個假電郵,或者一個虛假網站給用戶,然後引誘用戶按進去,這便可能洩露很多個人或公司資訊,接下來黑客可以去做很多事。他強調,最大比例的攻擊,其實是一些所謂針對人的攻擊,即不是黑客強行找一個漏洞進入公司的系統,而是可能傳送電郵給用戶,誘使用戶自己提供電郵帳號和密碼,於是黑客順理成章攻入公司的系統,所以人的意識很重要。黎少斌補充,網絡安全不單是IT部門的責任,其實是每個員工都有的責任。
根據香港網絡安全事故協調中心(HKCERT)數據,在2024年共處理12,536宗保安事故,其中網絡釣魚佔整體個案超過一半(7811宗,佔62%),較2023年上升108%,數字錄4位數增加(共增加4059宗),情况為5年來最嚴重。網絡釣魚主要集中在銀行、金融及電子支付行業,其次是社交媒體、即時通訊軟件、電子商貿、科技企業及公共服務。
警方數據顯示,2025年首7個月錄得19,080宗科技罪案,雖按年輕微下跌1%,但總體仍處於高水平,涉及經濟損失達36.4億元,按年增加18%。黎少斌稱,達36億元的損失不是一個小數目,也看到網絡安全的嚴重性,亦反映現時網絡攻擊不再是以往的「貪得意」,而是為了金錢上的得益。他補充,這還涉及間接性損失,例如如果企業未能準時出貨可能要作出賠償,且要找人去恢復系統,這都是間接損失,所以估計計及間接損失,網絡安全引致的經濟損失可能不止這個數字。
助中小企提高網絡安全知識
黎少斌強調,意識很重要,以往生產力局接觸很多中小企老闆,他們覺得網絡安全不關自己事,但現時心態已改變,明白要做些事去處理。他表示,該局特別針對中小企提供指南,做一些很簡單評估,讓中小企明白要先做什麼準備;例如該會今年推出「網絡安全服務供應商聯動計劃」,若中小企或任何企業有興趣找服務供應商幫助他們提高網絡安全,可以參考該局篩選了的一些合資格供應商。
事實上,生產力局提供綜合網絡安全測試和諮詢服務,服務涵蓋了多個方面,包括核心的「網絡安全、私隱及合規部署基本原則」、「設計和架構」、「培訓和訓練」、「主動式網絡安全方案」、「多元智能網絡安全方案」、「防禦式網絡安全方案」和「智能強化方案」。該局的目標是幫助各種規模的組織改善網絡安全狀態,保護其免受潛在威脅。黎少斌指出,理論上,如果我們不連上互聯網,便沒有網絡風險,但當我們推行智能化或數字化,風險隨之增加,所以當該局幫助企業去做數字化轉型時,都會同時考慮網路安全配套,例如在系統維護上如何制定權限。
此外,黎少斌表示,生產力局也會發布很多新的風險資訊,讓企業可以知道新的風險信息,並認識怎樣去預防;譬如說,現在很多公司會想用人工智能系統,但企業要考慮相對的風險,所以該局近日正式推出AI治理和安全測試服務,這也是針對現時一些新的數字化手段。他補充,生產力局提供的服務,當中部分是免費的,而部分更加深入、更加有針對性的,該局會收取一些收費。
另外,生產力局會與不同商會合作,例如參與他們舉辦的活動,如日前舉行的香港網絡安全高峰會2025(Cyber Security Summit Hong Kong 2025),通過這些渠道向商會的會員推廣該局的免費服務。培訓方面,黎少斌表示,該局可以為企業度身訂做培訓課程,即所謂In-company training,以提高企業的網絡安全知識。現時市場很缺乏網絡安全人才,因此生產力局正積極檢視可以引入哪些培訓,以幫助業界加快培養這方面的人才。黎少斌表示,現在部分大專院校已提供特定網絡安全課程,針對的主要是由中學到大學階段的學生,而生產力局提供的課程,針對的人士可能本身已經有IT背景,該局看如何可以再提供一些適當的技術培訓,除了傳統IT技術,亦可提升他們在網絡安全方面的專業水平,以緩解網絡安全人才的缺口。
香港傑出上市企業特輯
