香港網絡保安事故回升 HKCERT籲社會各界速提高資訊保安意識

(香港，2023年2月8日) 香港生產力促進局（生產力局）轄下的香港電腦保安事故協調中心（HKCERT）今日舉行簡布會，總結2022年香港資訊保安狀況並發布2023年保安預測，更邀請香港理工大學（理大）專家學者分享物聯網（IoT）及第三代互聯網（Web 3.0）最新保安風險。資訊科技（IT）的廣泛應用使各行業的數碼化進程加快，與此同時利用新技術發動的網絡攻擊亦有增無減；為免讓網絡不法份子有機可乘，HKCERT呼籲企業及市民應持續提高資訊保安意識，加強防範各種網絡攻擊，以免蒙受損失。

HKCERT總結2022年香港資訊保安狀況，中心去年共處理8,393宗保安事故，較2021年上升9%，是四年來首次錄得升幅。當中最主要事故為殭屍網絡（4,858宗)，較2021年上升40%；而第二主要事故為網絡釣魚（2,946宗），雖然較2021年下跌21%，但所涉及的網址URL（15,736條)則上升4%，當中逾六成與電子商貿、網上銀行及加密貨幣有關。

生產力局數碼轉型部總經理兼HKCERT發言人陳仲文先生表示：「過去一年全球經濟活動及商務往來逐漸回復正常，但企業及個人用戶對互聯網和新興科技的依賴卻有增無減，網絡攻擊的方式、數量及複雜程度亦隨之增加。HKCERT會繼續積極研究網絡攻擊趨勢及保安技術，並透過不同途徑，例如發出網絡攻擊預警、保安建議等，協助社會各界應對千變萬化的保安挑戰。我們亦會舉辦國際大型研討會及比賽，包括資訊保安高峰會及香港網絡保安新生代奪旗挑戰賽，以提升本地資訊保安意識，及培育新一代網絡保安精英。」

是次報告更提出了2023年值得留意的五大資訊保安風險：

1. 釣魚攻撃盜用身份或憑證： HKCERT 在2022年處理的保安事故當中，釣魚攻擊一直名列前茅。其中憑證釣魚（Credential Phishing）更是黑客慣常盜用身份的第一步，以騙取用戶的個人敏感資料。另外，黑客亦開始使用新攻擊手法嘗試繞過多重認證（MFA）保安措施。
2. 利用人工智能（AI）的攻擊：對比傳統系統，AI系統具有更深層次、更廣泛的潛在網絡保安風險。例如多個服務使用同一AI模型，當模型受到攻擊篡改，所有使用該模型的服務皆會受到波及。另外，黑客亦會利用AI編寫惡意程式或製作偽造訊息，如影像和聲音，用以散播謠言或勒索。
3. 網絡犯罪服務（Crime-as-a-service）低廉化將吸引更多不法分子使用：隨著網絡犯罪商業模式改變，網絡攻擊已發展成服務形式，大幅減低發動攻擊的門檻。網絡犯罪服務十分廉價，例如低至少於1美元便能購買1,000個被盜取的帳戶。
4. Web 3.0：其核心概念是「去中心化」，最為人熟悉的應用就是加密貨幣及元宇宙。HKCERT在2022年處理的釣魚連結當中，涉及加密貨幣的佔12%。香港金融管理局將虛擬貨幣交易所納入規管範圍，並規定虛擬資產服務提供者必須在2023年6月1日或之前獲取許可牌照，可見Web 3.0 的保安風險不容忽視。
5. IoT 廣泛應用產生更多攻擊機會：數碼化帶動「工業4.0」發展，以智能製造幫助企業提升經營效率。「工業4.0」更是推動香港新型工業化的其中一個重要元素，它將IT及運營技術(OT)的系統融合，並往往會應用不同的IoT裝置，將IT及OT系統連接至互聯網，增加了網絡的出入口或網絡介面，帶來新的資訊保安風險及威脅。

要應對以上五大資訊保安威脅趨勢，陳仲文先生呼籲社會各界不能掉以輕心，他說：「大家要小心保護個人資訊，今時今日的個人資訊除生日日期，身份證號碼外，亦包括生物特徵，如指紋、聲紋等，亦須提防被不法分子利用；亦要注意搜尋引擎提供的最佳結果和網站域名的英文串法，以防範惡意及釣魚網站。另外，要了解AI、區塊鏈、加密貨幣、元宇宙等新技術所帶來的保安威脅，並制定相關的保安策略及應對措施。企業亦要在聯繫工業設備及IoT設備前做好充分保安準備，例如參考國際保安標準，建立一個安全架構及更新企業內部保安政策及營運守則，以減低網絡連接後帶來的風險。此外，要定期評估網絡和系統的保安，持續監察所有聯繫互聯網的設備配置。」

針對釣魚攻擊變得更複雜及多樣化，HKCERT將舉辦預防網絡釣魚活動，在全港不同地區擺設宣傳攤位，提醒公眾關注釣魚攻擊，加強應對此類攻擊的能力；亦會與網絡供應商及世界各地的保安事故協調中心合作清除可疑及惡意網站；並會出版網絡安全刊物提醒公眾關注新興風險；更會主動收集惡意程式樣本及為樣本進行分析，以及為公眾提供解決網絡保安事故的方法及意見。此外會積極向企業推廣物聯網及OT的資訊保安意識，亦會聯同不同行業的商會舉辦研討會及培訓課程，以加強中小企的資訊保安知識和應對能力。

今日的簡布會亦邀請了理大電子計算學系副教授羅夏樸博士分享IoT及Web 3.0最新保安風險趨勢。他表示：「如果連接互聯網的設備沒有更改預設密碼或更新過時的軟件，黑客便有機可乘，利用這些弱點進行攻擊。同時，物聯網設備公司應採用全面的方法來加強物聯網系統的安全，包括保護物聯網設備及其固件和人工智能算法、應用程式和伺服器、網絡協定和連接，以及推行零信任安全架構。同時，大家要警惕Web 3.0的保安風險，因為區塊鏈/智能合約可能存在未知/已知的安全漏洞，現在各區塊鏈平台上有許多欺詐和惡意智能合約以及從不同維度進行的攻擊。區塊鏈/智能合約開發者應採用系統化的方法來加強其產品的安全，包括詳盡的代碼審計、算法和程序邏輯的安全評估、代碼強化、實時監控分析和在線防禦、惡意智能合約/前端應用程式的檢測等。理大的區塊鏈科技研究中心和人工智能物聯網研究院在這些方面做了大量的研究並取得了豐碩成果。」

企業或公眾如欲向HKCERT 報告與資訊保安相關的事故，例如惡意程式、網絡釣魚、阻斷服務攻擊等，可以填寫網上表格：https://www.hkcert.org/zh/incident-reporting 或致電24小時熱線8105 6060。如有其他疑問，歡迎電郵至 hkcert@hkcert.org 與HKCERT聯絡。

- 完 -

香港生產力促進局（生產力局）轄下的香港電腦保安事故協調中心（HKCERT）今日舉行簡布會，由生產力局數碼轉型部總經理兼HKCERT發言人陳仲文先生（左）總結2022年香港資訊保安狀況並預測2023年五大資訊保安風險，更邀請香港理工大學電子計算學系副教授羅夏樸博士（右）分享物聯網（IoT）及Web 3.0最新保安風險趨勢。