近年本港网络安全问题愈来愈多,新闻不时报道有机构遭黑客入侵,香港生产力促进局首席数码总监黎少斌表示,现时最大比例的网络攻击是一些针对人的攻击,即不是黑客强行找一个漏洞进入企业系统,而是可能传送虚假电邮给用户,诱使用户提供电邮帐号和密码。因此,黎少斌提醒,人的意识很重要,并强调维护网络安全不单是IT部门的责任,也是每个员工的责任。
明报记者:袁国守
近年多了企业遭黑客入侵,究竟哪些行业及机构面对较高网络安全风险呢?黎少斌表示,根据生产力局做的一项调查,发现2024年大企业和中小企业受到网络攻击的比例都是差不多,这跟过去几年有一点不同,以往可能因攻击也有成本,黑客当然尝试攻击一些大企业以获得赎金,但随着近年来愈来愈多人懂得利用人工智能去做攻击,相对来说攻击成本有下降趋势,所以变成一个「大包围」攻击,即是说中小企也可能是黑客的入侵目标。行业方面,黎少斌说,各行各业遇上网络安全问题的比例都差不多,没有一个行业特别多。
常见网络「钓鱼」手法诈骗
黎少斌表示,现时最多见到的网络攻击是「钓鱼」,例如黑客传送一个假电邮,或者一个虚假网站给用户,然后引诱用户按进去,这便可能泄露很多个人或公司资讯,接下来黑客可以去做很多事。他强调,最大比例的攻击,其实是一些所谓针对人的攻击,即不是黑客强行找一个漏洞进入公司的系统,而是可能传送电邮给用户,诱使用户自己提供电邮帐号和密码,于是黑客顺理成章攻入公司的系统,所以人的意识很重要。黎少斌补充,网络安全不单是IT部门的责任,其实是每个员工都有的责任。
根据香港网络安全事故协调中心(HKCERT)数据,在2024年共处理12,536宗保安事故,其中网络钓鱼占整体个案超过一半(7811宗,占62%),较2023年上升108%,数字录4位数增加(共增加4059宗),情况为5年来最严重。网络钓鱼主要集中在银行、金融及电子支付行业,其次是社交媒体、即时通讯软件、电子商贸、科技企业及公共服务。
警方数据显示,2025年首7个月录得19,080宗科技罪案,虽按年轻微下跌1%,但总体仍处于高水平,涉及经济损失达36.4亿元,按年增加18%。黎少斌称,达36亿元的损失不是一个小数目,也看到网络安全的严重性,亦反映现时网络攻击不再是以往的「贪得意」,而是为了金钱上的得益。他补充,这还涉及间接性损失,例如如果企业未能准时出货可能要作出赔偿,且要找人去恢复系统,这都是间接损失,所以估计计及间接损失,网络安全引致的经济损失可能不止这个数字。
助中小企提高网络安全知识
黎少斌强调,意识很重要,以往生产力局接触很多中小企老板,他们觉得网络安全不关自己事,但现时心态已改变,明白要做些事去处理。他表示,该局特别针对中小企提供指南,做一些很简单评估,让中小企明白要先做什么准备;例如该会今年推出「网络安全服务供应商联动计划」,若中小企或任何企业有兴趣找服务供应商帮助他们提高网络安全,可以参考该局筛选了的一些合资格供应商。
事实上,生产力局提供综合网络安全测试和咨询服务,服务涵盖了多个方面,包括核心的「网络安全、私隐及合规部署基本原则」、「设计和架构」、「培训和训练」、「主动式网络安全方案」、「多元智能网络安全方案」、「防御式网络安全方案」和「智能强化方案」。该局的目标是帮助各种规模的组织改善网络安全状态,保护其免受潜在威胁。黎少斌指出,理论上,如果我们不连上互联网,便没有网络风险,但当我们推行智能化或数字化,风险随之增加,所以当该局帮助企业去做数字化转型时,都会同时考虑网路安全配套,例如在系统维护上如何制定权限。
此外,黎少斌表示,生产力局也会发布很多新的风险资讯,让企业可以知道新的风险信息,并认识怎样去预防;譬如说,现在很多公司会想用人工智能系统,但企业要考虑相对的风险,所以该局近日正式推出AI治理和安全测试服务,这也是针对现时一些新的数字化手段。他补充,生产力局提供的服务,当中部分是免费的,而部分更加深入、更加有针对性的,该局会收取一些收费。
另外,生产力局会与不同商会合作,例如参与他们举办的活动,如日前举行的香港网络安全高峰会2025(Cyber Security Summit Hong Kong 2025),通过这些渠道向商会的会员推广该局的免费服务。培训方面,黎少斌表示,该局可以为企业度身订做培训课程,即所谓In-company training,以提高企业的网络安全知识。现时市场很缺乏网络安全人才,因此生产力局正积极检视可以引入哪些培训,以帮助业界加快培养这方面的人才。黎少斌表示,现在部分大专院校已提供特定网络安全课程,针对的主要是由中学到大学阶段的学生,而生产力局提供的课程,针对的人士可能本身已经有IT背景,该局看如何可以再提供一些适当的技术培训,除了传统IT技术,亦可提升他们在网络安全方面的专业水平,以缓解网络安全人才的缺口。
香港杰出上市企业特辑
