上文談及香港電腦保安事故協調中心預料網絡犯罪包辦服務、「假冒CEO電郵騙案」和涉及流動裝置的資料外洩事件,今年將會猖獗,社會各界需做好保安準備。

企業及各電腦用戶可採取「三步曲」:識別、評估,及保護,提防網絡罪犯。首先大家要「識別」需要加強保護的關鍵及敏感資料和設備,例如企業的客戶數據庫、付款系統、遙距存取服務、已連接網絡的控制系統;個人的網上服務帳戶密碼、智能家居系統、網絡及個人雲端儲存設備等。
然後「評估」和審視上述資料和設備所面對的保安風險。

完成這些步驟後,資訊科技系統管理人便需根據保安評核結果,對症下藥,採取「保護」措施,包括安裝修補程式及更改出廠設定,堵塞系統的保安漏洞。同時,嚴格控制外來的遙距及特權存取請求,識別及界定可能的用戶,並按「應知則知」的準則設定相應權限;安裝惡意網站或IP地址黑名單,防止對外的惡意訪問。另外,以具備自動及定期執行備份功能,及能支援流動儲存媒體的數據備份工具,備份關鍵及敏感數據,並保持離線副本。

此外,要經常保持網絡安全意識,企業須定期更新機構的資訊保安政策,特別是針對「自攜設備上班」及物聯網的保安;及加強員工培訓識別「假冒CEO」等電郵騙案,例如規定透過其他途徑核實可疑的滙款指示。使用雲端服務時,大家要用較強的密碼及雙重認證,而利用公共Wi-Fi熱點、開啟電子郵件或瀏覽網站時,要保持警覺。