「SSH香港企业网络保安准备指数2019」报49.3 - 保安准备仍未达标 员工意识尤为薄弱

(香港,2019年4月10日)香港生产力促进局(生产力局)公布新一届「SSH香港企业网络保安准备指数2019」调查结果,显示今年综合企业网络保安准备指数为49.3点(最高100),较去年的首次调查微升3.7点,反映本港企业虽然已投放更多资源应对网络攻击以确保业务持续运作,惟在保安管理、员工意识和主动性方面可以进一步加强,以应付网络保安新威胁。

综合指数由「保安风险评估」、「技术控制」、「流程控制」和「员工意识」四个范畴组成;是次调查发现,仅「技术控制」达到较理想的保安准备指数门槛,由去年36.9点大幅攀升26.6点至今年的63.4点;其余三项皆录得下跌,当中「员工意识」(29.5点)跌幅最大,甚至低于40点的可接受门槛。生产力局专家认为企业人员或因去年并未如2017年般发生大规模网络攻击,导致意识有所松懈,故此未及提升公司网络安全以加强保障。按行业而言,金融服务业的综合企业网络保安准备指数最高(66点),零售/旅游相关行业(44点)和制造/贸易/物流(45.8点)得分偏低,排名与去年一样。

此外,企业在过去12个月曾遭受网络保安攻击的升幅显着,四成一受访者表示受到外部攻击,去年则只有两成六;当中以钓鱼电邮(77%)、勒索软件 (42%)和假扮高层的电邮诈骗(35%)为最常见的三种攻击。生产力局指出,去年部分黑客选择贩卖盗取得来的电邮账户,以致相关网络攻击大幅上升。

今次调查亦探讨了企业内部和第三方存取管理的情况,63%受访者表示不知道公司怎样管理给第三方的「特权存取」。「特权存取」是指机构内部人员或第三方合作伙伴拥有的特许权力,能在该机构的资讯科技系统或网络自由进出,执行关键的资讯科技工作。约三成受访者使用有「特权存取」的共享账户,但其中有55% 基于信任用户,未有加设额外措施,保障账户安全。生产力局专家认为企业普遍忽略第三方的网络保安风险。另一方面,四成受访公司计划于未来12个月加强网络保安,连续两年欲採取的首三项措施为「系统及网络保安」、「端点保护」和「网络保安培训」。 

生产力局首席数码总监黎少斌先生表示:「纵使企业需要面对越来越猖獗和复杂的网络攻击,但调查却发现它们在保安准备方面跟理想水平仍有一大段距离,尤其是员工意识。针对这情况,生产力局锐意提升本地业界的网络安全,除透过属下的『香港电脑保安事故协调中心』(HKCERT)举办相关会议、工作坊和专业培训提升企业的保安风险认知和应变能力外,还提供针对『工业4.0』和『企业4.0』的网络安全顾问服务,协助进行数码转型中的企业更有效地应对网络保安威胁。」

他建议企业可从流程、技术和员工三方面着手改善,包括加强管理第三方网络保安风险,制定政策或合同条款以规管第三方合作伙伴,採取适当网络保安措施,并严格控制其存取权,甚至取缔「特权存取」的共享账户;同时部署较高阶、能自动检测网络威胁的技术,与业内同行协作互享网络威胁情报,建立联合防御,并培训所有员工和进行定期演习,提高网络安全意识,确保时刻保持警惕应对变化不断的网络威胁。 

调查由生产力局独立进行、HKCERT支持,并由企业网络保安方案供应商SSH Communications Security贊助,旨在评估香港企业在应对网络保安威胁方面是否准备就绪。调查于2019年3月进行,透过电话访问六个行业的350间企业。「SSH香港企业网络保安准备指数」调查2019完整报告可从http://u.hkpc.org/hkecsi2019下载。

- 完 -

生产力局首席数码总监黎少斌先生(中)、生产力局数码转型部高级顾问梁兆昌先生(左)和SSH Communications Security亚太区副总裁何思聪,公布「SSH香港企业网络保安准备指数」调查2019结果。生产力局首席数码总监黎少斌先生(中)、生产力局数码转型部高级顾问梁兆昌先生(左)和SSH Communications Security亚太区副总裁何思聪,公布「SSH香港企业网络保安准备指数」调查2019结果。