HKCERT 發表「香港網絡安全展望 2025」 網絡釣魚事故創五年新高 供應鏈安全隱患及AI生成內容被騎劫將成年來主要網絡風險 研究報告反映過半企業憂慮IoT數碼顯示屏成網絡攻擊目標

(香港，2025年1月20日) 香港網絡安全事故協調中心(HKCERT)今日舉行「香港網絡安全展望 2025」暨「物聯網數碼顯示屏保安研究報告」傳媒簡介會，總結 2024年香港網絡安全狀況並發布 2025年網絡安全預測，簡介會指出供應商安全性不穩及AI生成內容被騎劫將成為香港網絡安全的主要風險；HKCERT同時發布「物聯網數碼顯示屏保安研究報告」，報告顯示數碼顯示屏或成攻擊目標，這新型保安漏洞正時刻威脅企業及個人安全，情況值得關注，各界應做足保安措施防患於未然。

HKCERT在2024年共處理 12,536 宗保安事故，其中網絡釣魚佔整體個案超過一半（7,811宗，佔62%），對比2023年上升108%，數字錄四位數增加(共增加4,059宗)，情況為五年來最嚴重。與網絡釣魚相關的連結更超過48,000條，較去年多出1.5倍。網絡釣魚主要集中在銀行、金融及電子支付行業，其次是社交媒體、即時通訊軟件、電子商貿、科技企業及公共服務。惡意軟件的數量於2024年也顯著上升，按年增幅高達4.8倍，大部份處理的惡意軟件個案均是針對智能裝置的木馬程式，裝扮成正常的應用程式引誘用戶安裝。

生產力局數碼轉型部總經理兼HKCERT發言人陳仲文工程師表示：「黑客取易不取難，轉向經第三方如供應商、承包商或服務提供者進行突破。關鍵基礎設施如能源、海陸空交通、銀行、醫療保健都有機會受攻擊。不管是低空經濟中的無人機，還是數碼顯示屏等物聯網裝置均有機會遇襲，影響嚴重。企業和個人需要作好準備，除制定適當的網絡事故應變措施，配置適當的網絡安全措施，更要定期進行保安審計及滲透測試，整體認識有關風險並做好預防措施。」

2025年必須留意的五大網絡安全風險：
HKCERT根據自身數據及威脅情報進行研究和分析，及邀請不同行業和崗位的本地和海外網絡安全專家進行問卷調查，歸納出2025年須留意的五大網絡安全風險。

1. 第三方風險上升：供應商、承包商或服務提供者等第三方風險可能帶來嚴重後果，如引發法律訴訟、賠償。第三方電腦軟件、應用程式及開源程式碼等的網絡安全漏洞也可能導致網絡攻擊和數據洩漏。第三方風險還可能導致供應鏈攻擊。黑客入侵合作夥伴來獲取對目標企業系統的訪問權限。
2. 大型語言模型資料外洩與投毒風險：大型語言模型面臨著資料洩露和被投毒的風險：提示攻擊(Prompt Hacking)通過設計和操縱輸入提示(Prompt)來誤導大型語言模型來輸出受限制的資訊；對抗性攻擊(Adversarial Attack)通過操控訓練數據來影響模型日後的判斷。
3. 人工智能（AI）助長網絡攻擊及詐騙：許多黑客熱衷於討論如何越獄生成式AI - ChatGPT，以生成被限制的內容，例如製作惡意軟件和釣魚訊息等。犯罪設計的GPT反映AI武器化仍然是一個安全風險。
4. 關鍵基礎設施網絡攻擊增加：全球的關鍵基礎設施均有受到惡意網絡攻擊的風險。2024年全球針對關鍵基礎設施的網絡攻擊頻繁發生，其中香港的醫院也曾遭受勒索軟件的攻擊。
5. 物聯網（IoT）技術的安全風險：物聯網裝置已經涉獵我們日常生活的各個範疇中，如數碼顯示屏、無人機、智能家居裝置等，但如網絡安全措施不足，會極容易遭到黑客入侵。HKCERT發現市面上可供購置的數碼顯示屏存在常見的保安風險，有機會被黑客發動IoT攻擊。

數碼顯示屏無處不在 接近四成受訪機構未事先為數碼顯示屏進行風險評估
針對以上五大網絡安全風險，HKCERT去年七月至九月期間進行物聯網數碼顯示屏網絡安全意識調查，以電話訪問624間企業，涵蓋零售和旅遊、資訊和通訊技術、公共關係、金融服務、專業服務及非牟利機構、學校等不同行業，以了解及分析機構對使用數碼顯示屏及IoT的網絡安全意識，活動同日發布「物聯網數碼顯示屏保安研究報告」及分享保安建議，藉此呼籲提高用戶安全意識。

現時數碼顯示屏除了安裝在商場、車站和升降機外，透過數碼顯示屏進行顧客互動的數碼廣告和電子餐單等也日趨普及，這些裝置背後的潛在風險也隨之增加。調查發現，即使多數受訪用戶相當關注數碼顯示屏的安全，仍然有39%受訪機構不會事先為顯示屏進行網絡安全風險評估以應對相關風險。HKCERT認為有需要向數碼顯示屏用戶就潛在保安風險作出提醒，並就相關IoT裝置的應用提供保安建議，讓用戶安心使用以防黑客攻擊。

調查結果揭示至少10個高風險嚴重漏洞 
為識別常見數碼顯示屏中的潛在風險並提供保安建議，HKCERT去年對八種不同品牌的數碼顯示屏進行研究。研究共發現20個漏洞， 其中10個屬高風險級別，急需堵塞漏洞。HKCERT更即場示範常見的物聯網攻擊，最快只需三秒即能取得顯示屏的控制權。

陳仲文工程師指：「數碼顯示屏數量多、影響力廣，其應用遍佈各行各業及生活上衣食住行的不同範疇，一旦遭受網絡攻擊，其後果可能是災難性的。在攻擊變得恆常化和系統化之前，我們有需要向公眾警告有關風險，提升大家的安全意識和防範能力。因此，HKCERT提出六點建議，旨在幫助公眾抵禦網絡攻擊，保障數碼顯示屏能安全運作。」

HKCERT提出六點保安建議：

1. 系統及軟件保安：停用不需要的軟件及服務，確保程式碼庫更新，使用高強度密碼雜湊，並定期更新系統和軟件
2. 網絡保安：使用加密協定 (例如: HTTPS) ，啟用系統防火牆
3. 實體保安：停用 USB 自動運行和自動播放，限制實體操作介面
4. 制定數據保護政策：定期備份數據
5. 安全內容管理：實施審核程序，監控內容完整性
6. 安全帳戶管理：實施高強度密碼及多重認證功能，採取最小權限原則

- 完 -

生產力局數碼轉型部總經理兼HKCERT發言人陳仲文工程師於「香港網絡安全展望 2025」暨「物聯網數碼顯示屏保安研究報告」傳媒簡介會中表示，黑客轉向經第三方如供應商、承包商或服務提供者進行突破。企業和個人需要作好準備，除制定適當的網絡事故應變措施​，配置適當的網絡安全措施​，更要定期進行保安審計及​滲透測試，整體認識有關風險並做好預防措施。

生產力局數碼轉型部總經理兼HKCERT發言人陳仲文工程師示範攻擊數碼顯示屏的方法，並提出保安建議。