生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)今日(8日)舉行簡布會,總結2022年香港資訊保安狀況並發布2023年保安預測,更邀請香港理工大學專家學者分享物聯網(IoT)及Web 3.0最新保安風險趨勢。HKCERT最新發布《香港資訊保安展望2023》顯示去年網絡保安事故按年升9%,為4年來首次錄升幅。
報告更提出了2023年必須留意的五大資訊保安風險:
- 釣魚攻撃盜用身份或憑證: 其中憑證釣魚(Credential Phishing)更是黑客慣常盜用身份的第一步,以騙取用戶的個人敏感資料。另外,黑客亦開始使用新攻擊手法嘗試繞過多重認證(MFA)保安措施。
- 利用人工智能(AI)的攻擊:對比傳統系統,AI系統具有更深層次、更廣泛的潛在網絡保安風險。例如多個服務使用同一AI模型,當模型受到攻擊篡改,所有使用該模型的服務皆會受到波及。另外,黑客亦會利用AI編寫惡意程式或製作偽造訊息,如影像和聲音,用以散播謠言或勒索。
- 網絡犯罪服務(Crime-as-a-service)低廉化將吸引更多不法分子使用:隨著網絡犯罪商業模式改變,網絡攻擊已發展成服務形式,大幅減低發動攻擊的門檻。網絡犯罪服務十分廉價,例如低至少於1美元便能購買1,000個被盜取的帳戶。
- Web 3.0:其核心概念是「去中心化」,最為人熟悉的應用就是加密貨幣及元宇宙。HKCERT在2022年處理的釣魚連結當中,涉及加密貨幣的佔12%。香港金融管理局將虛擬貨幣交易所納入規管範圍,並規定虛擬資產服務提供者必須在2023年6月1日獲取許可牌照,可見Web 3.0 的保安風險不容忽視。
- IoT 廣泛應用產生更多攻擊機會:數碼化帶動「工業4.0」發展,以智能製造幫助企業提升經營效率。「工業4.0」更是推動香港新型工業化的其中一個重要元素,它將IT及運營技術(OT)的系統融合,並往往會應用不同的IoT裝置,將IT及OT系統連接至互聯網,增加了網絡的出入口或網絡介面,帶來新的資訊保安風險及威脅。
HKCERT生產力局數碼轉型部總經理兼HKCERT發言人陳仲文表示,總結2022年香港資訊保安狀況,中心去年共處理8,393宗保安事故,較2021年上升9%,是四年來首次錄得升幅。當中最主要事故為殭屍網絡(4,858宗),較2021年上升40%;而第二主要事故為網絡釣魚(2,946宗),雖然較2021年下跌21%,但所涉及的網址URL (15,736條)則上升4%,當中逾六成與電子商貿、網上銀行及加密貨幣有關。
陳仲文表示,過去一年全球經濟活動及商務往來逐漸回復正常,但企業及個人用戶對互聯網和新興科技的依賴卻有增無減,網絡攻擊的方式、數量及複雜程度亦隨之增加。HKCERT會繼續積極研究網絡攻擊趨勢及保安技術,並透過不同途徑,例如發出網絡攻擊預警、保安建議等,協助社會各界應對千變萬化的保安挑戰。
生產力局數碼轉型部總經理兼HKCERT發言人陳仲文(左)總結2022年香港資訊保安狀況並預測2023年五大資訊保安風險,更邀請理大電子計算學系副教授羅夏樸博士(右)分享物聯網(IoT)及Web 3.0最新保安風險趨勢。