(香港,2024年11月21日)香港生產力促進局(生產力局)及香港個人資料私隱專員公署(私隱專員公署)今日共同公布「香港企業網絡保安準備指數及AI安全風險」調查報告結果,「香港企業網絡保安準備指數」錄得52.8點(最高100點),較去年上升5.8點,重回接近2022年水平,但仍然維持於「具基本措施」級別1,可見企業仍然有很大的進步空間。中小企(48.4點)及大型企業(73.1點)的指數均錄得升幅,分別上升4.8點及10.6點,大型企業的指數更升至有紀錄以來最高。
香港企業網絡保安準備指數
「香港企業網絡保安準備指數」由「保安政策及風險評估」、「技術控制」、「流程控制」和「員工網絡保安意識」四個範疇組成。於本年度,「流程控制」(70.9點)微升2.8點,繼續於所有分項指數居首,屬「具管理能力」級別;該分項指數亦有上升趨勢,由2018年的57.3點,升至本年的70.9點。同樣地,「技術控制」(57.3點)亦較去年微升2.2點,並由2018年的36.9點,即「措施不一致」級別,上升至57.3點,即「具基本措施」級別。「保安政策及風險評估」(52.1點)於今年大幅回升12.4點,重回「具基本措施」級別。另外,「員工網絡保安意識」於今年上升5.7點至30.9點,惟該範疇自2018年仍然屬「措施不一致」級別。調查發現,只有三分之一(35%)的受訪企業有為員工進行網絡安全意識培訓,以及只有四分之一(24%)有進行演習以加強員工的網絡安全意識;顯示企業需於這兩方面加強。
行業指數方面,金融服務業(68.3點)繼續維持在「具管理能力」級別。不過,零售和旅遊相關行業(45.3點,+12.0點)及專業服務業(46.0點,+2.5點)的指數雖有升幅,但仍然是所有行業中最低,且低於50點水平線。
調查顯示,近七成(69%)的受訪企業在過去12個月內曾遇到至少一類網絡安全攻擊,較去年稍微下跌四個百分點,但仍高於2022年的水平(65%)。數字的下降主要是由於受網絡安全攻擊的中小企百分比有所減少,較去年稍跌四個百分點。儘管如此,仍然有超過七成(71%)大型企業受網絡安全攻擊,與去年數字相若。其中,釣魚攻擊依然是最常見的網絡安全攻擊類型,98%的企業曾在今年遇過這類攻擊,數字按年上升兩個百分點。除網絡釣魚電子郵件(79%)及假冒其他機構的網絡廣告(42%)等常見的釣魚攻擊外,調查亦發現網絡釣魚簡訊(38%,+4百分點)較去年更為普遍。
生產力局數碼轉型部總經理陳仲文表示:「本年指數雖然錄得回升,但仍只屬基本水平。指數改善主要是由於較多企業於今年有進行網絡安全風險評估,以及有邀請第三方機構評核IT系統。另外,『員工網絡保安意識』仍有待加強,員工缺乏意識有可能成為企業網絡安全其中一個最大的漏洞,企業應從多方面強化員工的網絡安全意識,包括每年為所有員工進行網絡安全意識培訓,以更新員工對最新網絡安全的知識;培訓內容亦需針對人員進行角色為基礎培訓。企業亦需要定期進行釣魚測試及網絡安全演習,以監測及處理表現較弱的範疇。中小企於考慮提升網絡安全級別時亦要顧及其風險承擔的程度,需要面對的風險越高,他們應該達到的網絡安全水平就越高。另一方面,近七成的受訪企業在過去12個月曾遇到至少一類網絡安全攻擊,當中超過九成表示受到網絡釣魚攻擊,與去年數字相若。香港網絡安全事故協調中心(HKCERT)的事故報告統計資料顯示,今年1月至10月期間,HKCERT處理的保安事故總數已達10,020宗,已超越2023年的事故總數,創下歷史新高;HKCERT亦接獲35,379個釣魚網站的報告,較2023年同比增加了127%,釣魚攻擊的事故報告已佔所有網絡安全事故的62.22%2。除了提高員工的網絡安全意識外,企業可參考HKCERT推出的『中小企保安事故應變指南』,制定企業網絡安全事故應變計劃及定期進行安全審計,識別並修補可能存在的安全漏洞。」
人工智能(AI)安全與私隱風險調查
今年專題調查探討受訪企業在使用AI方面的情況及所採取的安全風險措施。調查結果發現,近七成企業(69%)認為在營運中使用AI會帶來顯著的私隱風險。整體來說,約五分之一的企業(21%)現時有於營運中使用AI,而大型企業的使用率則較高,超過四成(43%)。
於營運中使用AI的企業中,約三分之二(65%)有採用至少一項數據安全防護措施,而大型企業的佔比更接近八成(79%),顯示大型企業比中小企更著重數據安全防護,以確保公司使用AI工具的數據安全。較多企業採用的數據安全防護措施是「存取控制」(41%)及數據保護措施(例如加密數據、將個人資料匿名化)(39%)。不過,較少企業會使用專門針對機器學習攻擊的保護措施(14%)或留意與AI相關的安全警報(13%)。
另外,四分之三(75%)在營運中使用AI的企業皆表示使用AI時不會向第三方提供數據,當中,會向第三方提供數據的企業大部分只提供一些公開的數據(14%)及匿名化和聚合數據(8%),顯示企業在處理數據方面持謹慎態度。就企業遇到個人資料外洩事故的應變計劃方面,雖然有超過六成(61%)於營運中有使用AI的企業有制定針對資料外洩事故的應變計劃,但只有少於兩成(16%)包含應對AI相關的事故。
調查亦發現,大型企業較中小企更積極提供AI相關的培訓及制定關於AI安全風險的政策。在營運中使用AI的企業中,有超過八成(82%)大型企業現時有或計劃為員工提供有關AI的培訓,而有超過七成(74%)大型企業已制定或計劃制定關於AI安全風險的政策,但中小企分別只佔一半左右(52%及45%)。另一方面,只有少於兩成(17%)的受訪中小企表示計劃在未來12個月內增加使用AI技術以加強數據和網絡安全;然而,超過四成大型企業(46%)有相關計劃。
個人資料私隱專員鍾麗玲表示:「私隱專員公署一直積極推動保障數據安全的工作,今年的『香港企業網絡保安準備指數』較去年上升5.8 點,當中大型企業的指數更升至有紀錄以來最高。而人工智能安全是國家安全的重點領域之一,隨著AI應用日漸普及,AI的私隱風險及數據安全不容忽視,企業不論規模大小,均有責任於善用AI之餘,採用數據安全防護措施保障個人資料私隱。私隱專員公署鼓勵企業參考公署出版的《人工智能(AI):個人資料保障模範框架》,以確保企業採購、實施及使用AI時,遵從《個人資料(私隱)條例》的相關規定,加強保障數據安全。」
調查由私隱專員公署委託生產力局獨立進行,旨在評估香港企業在應對網絡保安威脅及AI安全風險方面是否準備就緒,以及公眾對私隱相關議題的意見。最新的調查在2024年9月至10月透過電話訪問442間企業,涵蓋六個行業3。
請按此下載「香港企業網絡保安準備指數及AI安全風險調查2024」調查報告。
生產力局與私隱專員公署共同推出「中小企數據安全培訓系列」
為協助中小企加強保障數據安全,生產力局及私隱專員公署將於2025年聯合推出數據安全培訓系列,主題包括:(i)近年資料外洩個案分享;(ii)資料保安措施建議;及(iii)如何預防及處理資料外洩事故。
私隱專員公署推出「數據安全」套餐
為協助學校、非牟利機構及中小企加強保障數據安全、網絡安全,私隱專員公署已推出「數據安全」套餐,參加「數據安全」套餐的機構可免費進行「數據安全快測」,評估其數據安全措施是否足夠,並在完成「快測」後享有五個免費名額參加由公署舉辦的研習班及講座。此外,公署亦已推出「數據安全」專題網頁及「數據安全」熱線2110 1155,提供相關資訊及協助。有意參加的學校、非牟利機構及中小企可電郵至training@pcpd.org.hk查詢。
生產力局推出「網絡釣魚防禦服務」
生產力局持續加強對中小企的多元化服務及支援,提升中小企業網絡安全意識及防範能力。為進一步加強員工網絡安全意識,並協助他們了解網絡釣魚攻擊的不同形式及技巧,生產力局推出「網絡釣魚防禦服務」。服務除了包括為企業設計網絡釣魚題材/場景,及進行網絡釣魚演練外,亦會就演習結果進行分析並提供建議及培訓。服務模擬最新釣魚攻擊進行演練,讓企業更清楚了解釣魚攻擊的最新發展及攻擊技巧。
瀏覽生產力局 「網絡釣魚防禦服務」的服務詳情:
https://www.hkpc.org/zh-HK/our-services/digital-transformation/cyber-security/phishing-defence-services
- 完 -
1 指數級別分為五級,排名由高至低依次為「具前瞻能力」(80-100)、「具管理能力」(60-79)、「具基本措施」(40-59)、「措施不一致」(20-39)及「缺乏意識」(0-19)
2資料來源:HKCERT
3調查所涵蓋的六個行業包括「零售和旅遊相關」、「製造、貿易和物流」、「非牟利機構、學校和其他」、「金融服務」、「專業服務」及「資訊和通訊技術」
緊貼我們
訂閱生產力局電子報
透過電郵取得本局的最新資訊
請即註冊