(香港,2023年2月8日) 香港生產力促進局(生產力局)轄下的香港電腦保安事故協調中心(HKCERT)今日舉行簡布會,總結2022年香港資訊保安狀況並發布2023年保安預測,更邀請香港理工大學(理大)專家學者分享物聯網(IoT)及第三代互聯網(Web 3.0)最新保安風險。資訊科技(IT)的廣泛應用使各行業的數碼化進程加快,與此同時利用新技術發動的網絡攻擊亦有增無減;為免讓網絡不法份子有機可乘,HKCERT呼籲企業及市民應持續提高資訊保安意識,加強防範各種網絡攻擊,以免蒙受損失。
HKCERT總結2022年香港資訊保安狀況,中心去年共處理8,393宗保安事故,較2021年上升9%,是四年來首次錄得升幅。當中最主要事故為殭屍網絡(4,858宗),較2021年上升40%;而第二主要事故為網絡釣魚(2,946宗),雖然較2021年下跌21%,但所涉及的網址URL(15,736條)則上升4%,當中逾六成與電子商貿、網上銀行及加密貨幣有關。
生產力局數碼轉型部總經理兼HKCERT發言人陳仲文先生表示:「過去一年全球經濟活動及商務往來逐漸回復正常,但企業及個人用戶對互聯網和新興科技的依賴卻有增無減,網絡攻擊的方式、數量及複雜程度亦隨之增加。HKCERT會繼續積極研究網絡攻擊趨勢及保安技術,並透過不同途徑,例如發出網絡攻擊預警、保安建議等,協助社會各界應對千變萬化的保安挑戰。我們亦會舉辦國際大型研討會及比賽,包括資訊保安高峰會及香港網絡保安新生代奪旗挑戰賽,以提升本地資訊保安意識,及培育新一代網絡保安精英。」
是次報告更提出了2023年值得留意的五大資訊保安風險:
要應對以上五大資訊保安威脅趨勢,陳仲文先生呼籲社會各界不能掉以輕心,他說:「大家要小心保護個人資訊,今時今日的個人資訊除生日日期,身份證號碼外,亦包括生物特徵,如指紋、聲紋等,亦須提防被不法分子利用;亦要注意搜尋引擎提供的最佳結果和網站域名的英文串法,以防範惡意及釣魚網站。另外,要了解AI、區塊鏈、加密貨幣、元宇宙等新技術所帶來的保安威脅,並制定相關的保安策略及應對措施。企業亦要在聯繫工業設備及IoT設備前做好充分保安準備,例如參考國際保安標準,建立一個安全架構及更新企業內部保安政策及營運守則,以減低網絡連接後帶來的風險。此外,要定期評估網絡和系統的保安,持續監察所有聯繫互聯網的設備配置。」
針對釣魚攻擊變得更複雜及多樣化,HKCERT將舉辦預防網絡釣魚活動,在全港不同地區擺設宣傳攤位,提醒公眾關注釣魚攻擊,加強應對此類攻擊的能力;亦會與網絡供應商及世界各地的保安事故協調中心合作清除可疑及惡意網站;並會出版網絡安全刊物提醒公眾關注新興風險;更會主動收集惡意程式樣本及為樣本進行分析,以及為公眾提供解決網絡保安事故的方法及意見。此外會積極向企業推廣物聯網及OT的資訊保安意識,亦會聯同不同行業的商會舉辦研討會及培訓課程,以加強中小企的資訊保安知識和應對能力。
今日的簡布會亦邀請了理大電子計算學系副教授羅夏樸博士分享IoT及Web 3.0最新保安風險趨勢。他表示:「如果連接互聯網的設備沒有更改預設密碼或更新過時的軟件,黑客便有機可乘,利用這些弱點進行攻擊。同時,物聯網設備公司應採用全面的方法來加強物聯網系統的安全,包括保護物聯網設備及其固件和人工智能算法、應用程式和伺服器、網絡協定和連接,以及推行零信任安全架構。同時,大家要警惕Web 3.0的保安風險,因為區塊鏈/智能合約可能存在未知/已知的安全漏洞,現在各區塊鏈平台上有許多欺詐和惡意智能合約以及從不同維度進行的攻擊。區塊鏈/智能合約開發者應採用系統化的方法來加強其產品的安全,包括詳盡的代碼審計、算法和程序邏輯的安全評估、代碼強化、實時監控分析和在線防禦、惡意智能合約/前端應用程式的檢測等。理大的區塊鏈科技研究中心和人工智能物聯網研究院在這些方面做了大量的研究並取得了豐碩成果。」
企業或公眾如欲向HKCERT 報告與資訊保安相關的事故,例如惡意程式、網絡釣魚、阻斷服務攻擊等,可以填寫網上表格:https://www.hkcert.org/zh/incident-reporting 或致電24小時熱線8105 6060。如有其他疑問,歡迎電郵至 hkcert@hkcert.org 與HKCERT聯絡。
- 完 -
緊貼我們
訂閱生產力局電子報
透過電郵取得本局的最新資訊
請即註冊