(香港,2019年1月22日)香港生产力促进局(生产力局)唿吁企业「从设计做起」,加强资讯保安,阻截个人资料外洩,并防范针对个人和财务数据的网络攻击。

生产力局属下的「香港电脑保安事故协调中心」总结2018年香港资讯保安状况时表示,协调中心去年共处理10,081宗保安事故,按年增加百分之55;其中殭尸网络攻击连续两年激升,数目较2017年大增百分之82(共3,783宗,佔总事故百分之37),恶意软件(3,181宗,佔百分之32)和钓鱼网站(2,101宗,佔百分之21)亦为主要的网络事故。

协调中心表示,保安事故数字大幅上升的主要原因之一,是因为黑客帮助其他缺乏相关技术的犯罪份子提供一站式攻击服务,降低了网络犯罪的入场门槛;此外,全球各地携手合作打击多个殭尸网络,并将被感染的本地电脑IP地址名单交予协调中心跟进,因此令协调中心录得更多保安事故的报告。

恶意软件方面,虽然去年接获的加密勒索软件事故报告(114宗)较以往少,但仍有2,426宗本地电脑受Wannacry勒索软件的感染个案;纵使这些电脑不会因为Wannacry被锁上,这些个案仍然反映了被感染的电脑用户未有採取补救措施的漏洞。

展望今年的资讯保安趋势,协调中心预计网络罪犯会针对需要处理大量个人或财务资料的大型企业发动更多网络攻击,并藉此图利。此外,新兴的网络应用和科技(例如流动支付服务和物联网设备),或会因缺乏保安意识和防备而成为攻击目标。

另外,以榨取金钱为目标的网络犯罪日趋猖獗,企业的风险管理意识持续薄弱,加上世界各地对个人资料保障引入更严厉的规管,包括欧盟的《一般资料保护规则》(GDPR),要求所有机构,不论行业或规模,皆需通报数据洩露事故,社会上预见有关外洩个人资料事故的报告将进一步上升。

协调中心唿吁企业提升保安风险管理以减低网络威胁;在开发新服务和技术时,切勿为了追赶市场週期和方便使用等因素而忽视基本的资讯保安,并採用「从设计做起」的保安原则。企业可透过採用双重认证、确保配置安全、修补安全漏洞,并减少系统受到网络攻击等措施,于流程和技术层面加强保安。此外,不应为贪方便而给予员工过多的系统权限,还要尽力提高员工的网络保安意识。企业亦要小心评估合作伙伴和服务供应商的网络保安风险。

今年,协调中心除会加强向本地中小企推广由其编制的《中小企网络安全七大攻略》之外,还会为经常处理大量个人资料的行业(例如旅游、酒店和零售业)举行网络安全简介会。此外,亦会利用社交媒体发放最新的保安建议,与主要的互联网基建设施机构合作,推动资讯保安最佳的作业模式,为维护香港作为安全的互联网枢纽共同努力。

- 完 -

生产力局资讯科技部总经理黄家伟先生(左)和香港电脑保安事故协调中心高级顾问梁兆昌先生于「香港资讯保安展望2019」简布会上,总结过去一年香港资讯保安的状况,同时分析2019年网络侵袭的最新趋势,为大众和工商界提供防范建议生产力局资讯科技部总经理黄家伟先生(左)和香港电脑保安事故协调中心高级顾问梁兆昌先生于「香港资讯保安展望2019」简布会上,总结过去一年香港资讯保安的状况,同时分析2019年网络侵袭的最新趋势,为大众和工商界提供防范建议

生产力局资讯科技部总经理黄家伟先生(左)和香港电脑保安事故协调中心高级顾问梁兆昌先生