HKCERT 发表〝香港网络安全展望 2025〞 网络钓鱼事故创五年新高 供应链安全隐患及AI生成内容被骑劫将成来年主要网络风险 研究报告反映过半企业忧虑IoT数字显示屏成网络攻击目标

(香港，2025年1月20日) 香港网络安全事故协调中心(HKCERT)今日举行〝香港网络安全展望 2025〞暨〝物联网数字显示屏保安研究报告〞传媒简介会，总结 2024年香港网络安全状况并发布 2025年网络安全预测，简介会指出供应商安全性不稳及AI生成内容被骑劫将成为香港网络安全的主要风险；HKCERT同时发布〝物联网数字显示屏保安研究报告〞，报告显示数字显示屏或成攻击目标，这新型保安漏洞正时刻威胁企业及个人安全，情况值得关注，各界应做足够的网络保安措施防患于未然。

HKCERT在2024年共处理 12,536 宗保安事故，其中网络钓鱼占整体个案超过一半（7,811宗，占62%），对比2023年上升108%，数字录四位数增加(共增加4,059宗) ，情况为五年来最严重。与网络钓鱼相关的连结更超过48,000条，较去年多出1.5倍。网络钓鱼主要集中在银行、金融及电子支付行业，其次是社交媒体、即时通讯软件、电子商贸、科技企业及公共服务。恶意软件的数量于2024年也显著上升，按年增幅高达4.8倍，大部份处理的恶意软件个案均是针对智能装置的木马程式，假装成正常的应用程式诱导用户安装。

生产力局数码转型部总经理兼HKCERT发言人陈仲文工程师表示：〝黑客取易不取难，转向经第三方如供应商、承包商或服务提供者进行突破。关键基础设施如能源、海陆空交通、银行、医疗保健都有机会受攻击。不管是低空经济中的无人机，还是数字显示屏等物联网装置均有机会遇袭，影响严重。企业和个人需要作好准备，除制定适当的网络事故应变措施，配置适当的网络安全措施，还要定期进行保安审计及渗透测试，整体认识有关风险并做好预防措施。〞

2025年必须留意的五大网络安全风险：
HKCERT根据自身数据及威胁情报进行研究和分析，及邀请不同行业和岗位的香港和海外网络安全专家进行问卷调查，归纳出2025年须留意的五大网络安全风险。

1. 第三方风险上升：供应商、承包商或服务提供者等第三方风险可能带来严重后果，如引发法律诉讼、赔偿。第三方电脑软件、应用程式及开源程式码等的网络安全漏洞也可能导致网络攻击和数据泄漏。第三方风险还可能导致供应链攻击。黑客入侵合作伙伴来获取对目标企业系统的访问权限。
2. 大型语言模型资料外泄与投毒风险：大型语言模型面临着资料泄露和被投毒的风险：提示攻击(Prompt Hacking)通过设计和操纵输入提示(Prompt)来误导大型语言模型来输出受限制的资讯；对抗性攻击(Adversarial Attack)通过操控训练数据来影响模型日后的判断。
3. 人工智能（AI）助长网络攻击及诈骗：许多黑客热衷于讨论如何越狱生成式AI - ChatGPT，以生成被限制的内容，例如制作恶意软件和钓鱼讯息等。犯罪设计的GPT反映AI武器化仍然是一个安全风险。
4. 关键基础设施网络攻击增加：全球的关键基础设施均有受到恶意网络攻击的风险。2024年全球针对关键基础设施的网络攻击频繁发生，其中香港的医院也曾遭受勒索软件的攻击。
5. 物联网（IoT）技术的安全风险：物联网装置已经涉猎我们日常生活的各个范畴中，如数字显示屏、无人机、智能家居装置等，但如网络安全措施不足，会极容易遭到黑客入侵。HKCERT发现市面上可供购置的数字显示屏存在常见的保安风险，有机会被黑客发动IoT攻击。

数字显示屏无处不在 接近四成受访机构未事先为数字显示屏进行风险评估
针对以上五大网络保安风险，HKCERT去年七月至九月期间进行物联网数字显示屏网络安全意识调查，以电话访问624间企业，涵盖零售和旅游、资讯和通讯技术、公共关系、金融服务、专业服务及非牟利机构、学校等不同行业，以了解及分析机构对使用数字显示屏及IoT的网络安全意识，活动同日发布〝物联网数字显示屏保安研究报告〞及分享保安建议，借此呼吁提高用户安全意识。

现时数字显示屏除了安装在商场、车站和升降机外，通过数字显示屏进行顾客互动的数码广告和电子餐单等也日趋普及，这些装置背后的潜在风险也随之增加。调查发现，即使多数受访用户相当关注数字显示屏的安全，仍然有39%受访机构不会事先为显示屏进行网络安全风险评估以应对相关风险。HKCERT认为有需要向数字显示屏用户就潜在保安风险作出提醒，并就相关IoT装置的应用提供保安建议，让用户安心使用以防黑客攻击。

调查结果揭示至少10个高风险严重漏洞
为识别常见数字显示屏中的潜在风险并提供保安建议，HKCERT去年对八种不同品牌的数字显示屏进行研究。研究共发现20个漏洞，其中10个属高风险级别，急需堵塞漏洞。HKCERT还即场示范常见的物联网攻击，最快只需三秒就能取得显示屏的控制权。

陈仲文工程师指：〝数字显示屏数量多、影响力广，其应用遍布各行各业及生活上衣食住行的不同范畴，一旦遭受网络攻击，其后果可能是灾难性的。在攻击变得恒常化和系统化之前，我们有需要向公众警告有关风险，提升大家的安全意识和防范能力。因此，HKCERT提出六点建议，旨在帮助公众抵御网络攻击，保障数字显示屏能安全运作。〞

HKCERT提出六点保安建议：

1. 系统及软件保安：停用不需要的软件及服务，确保程式码库更新，使用高强度密码杂凑，并定期更新系统和软件
2. 网络保安：使用加密协定 (例如: HTTPS) ，启用系统防火墙
3. 实体保安：停用 USB 自动运行和自动播放，限制实体操作介面
4. 制定数据保护政策：定期备份数据
5. 安全内容管理：实施审核程序，监控内容完整性
6. 安全帐户管理：实施高强度密码及多重认证功能，采取最小权限原则

- 完 -

生产力局数码转型部总经理兼HKCERT发言人陈仲文工程师于〝香港网络安全展望 2025〞暨〝物联网数字显示屏保安研究报告〞传媒简介会中表示，黑客转向经第三方如供应商、承包商或服务提供者进行突破。企业和个人需要作好准备，除制定适当的网络事故应变措施，配置适当的网络安全措施，还要定期进行保安审计及渗透测试，整体认识有关风险并做好预防措施。

生产力局数码转型部总经理兼HKCERT发言人陈仲文工程师示范攻击数字显示屏的方法，并提出保安建议。