生產力局呼籲企業「從設計做起」提升資訊保安
香港生產力促進局(生產力局)呼籲企業「從設計做起」,加強資訊保安,阻截個人資料外洩,並防範針對個人和財務數據的網絡攻擊。
生產力局屬下的「香港電腦保安事故協調中心」總結2018年香港資訊保安狀況時表示,協調中心去年共處理10,081宗保安事故,按年增加百分之55;其中殭屍網絡攻擊連續兩年激升,數目較2017年大增百分之82(共3,783宗,佔總事故百分之37),惡意軟件(3,181宗,佔百分之32)和釣魚網站(2,101宗,佔百分之21)亦為主要的網絡事故。
協調中心表示,保安事故數字大幅上升的主要原因之一,是因為黑客幫助其他缺乏相關技術的犯罪份子提供一站式攻擊服務,降低了網絡犯罪的入場門檻;此外,全球各地攜手合作打擊多個殭屍網絡,並將被感染的本地電腦IP地址名單交予協調中心跟進,因此令協調中心錄得更多保安事故的報告。
惡意軟件方面,雖然去年接獲的加密勒索軟件事故報告(114宗)較以往少,但仍有2,426宗本地電腦受Wannacry勒索軟件的感染個案;縱使這些電腦不會因為Wannacry被鎖上,這些個案仍然反映了被感染的電腦用戶未有採取補救措施的漏洞。
展望今年的資訊保安趨勢,協調中心預計網絡罪犯會針對需要處理大量個人或財務資料的大型企業發動更多網絡攻擊,並藉此圖利。此外,新興的網絡應用和科技(例如流動支付服務和物聯網設備),或會因缺乏保安意識和防備而成為攻擊目標。
另外,以榨取金錢為目標的網絡犯罪日趨猖獗,企業的風險管理意識持續薄弱,加上世界各地對個人資料保障引入更嚴厲的規管,包括歐盟的《一般資料保護規則》(GDPR),要求所有機構,不論行業或規模,皆需通報數據洩露事故,社會上預見有關外洩個人資料事故的報告將進一步上升。」
協調中心呼籲企業提升保安風險管理以減低網絡威脅;在開發新服務和技術時,切勿為了追趕市場週期和方便使用等因素而忽視基本的資訊保安,並採用「從設計做起」的保安原則。企業可透過採用雙重認證、確保配置安全、修補安全漏洞,並減少系統受到網絡攻擊等措施,於流程和技術層面加強保安。此外,不應為貪方便而給予員工過多的系統權限,還要盡力提高員工的網絡保安意識。企業亦要小心評估合作夥伴和服務供應商的網絡保安風險。
今年,協調中心除會加強向本地中小企推廣由其編制的《中小企網絡安全七大攻略》之外,還會為經常處理大量個人資料的行業(例如旅遊、酒店和零售業)舉行網絡安全簡介會。此外,亦會利用社交媒體發放最新的保安建議,與主要的互聯網基建設施機構合作,推動資訊保安最佳的作業模式,為維護香港作為安全的互聯網樞紐共同努力。
相片說明
生產力局資訊科技部總經理黃家偉先生(左)和香港電腦保安事故協調中心高級顧問梁兆昌先生於「香港資訊保安展望2019」簡布會上,總結過去一年香港資訊保安的狀況,同時分析2019年網絡侵襲的最新趨勢,為大眾和工商界提供防範建議
香港,2019年1月22日
分享至