調查指港企「特權存取」管理不足 機密資訊洩露風險高

生產力局的一項調查表示,本港部分公司和機構對網絡的「特權存取」管理不足,令其關鍵的資訊科技系統易暴露於黑客和內部攻擊的雙重威脅。是次調查由企業網絡安全方案供應商SSH Communications Security委託生產力局進行,涵蓋本地機構的「特權存取」情況,相關的網路安全問題和管理措施。

何謂「特權存取」?

「特權存取」是指機構內部人員或第三方合作夥伴擁有特許權力,能自由進出機構的資訊科技系統或網絡,執行關鍵的資訊科技工作。

生產力局在去年12月進行「特權存取」調查。生產力局在去年12月進行「特權存取」調查。

受訪機構採取「特權存取」原因

受訪機構採取「特權存取」原因

18%受訪機構存保安問題

研究發現,81%受訪機構有採取審計和管理措施規範「特權存取」,主要是為增強網絡保安(78%)和遵循合規要求(63%)。然而,仍然有18%受訪機構遇到「特權存取」的相關保安問題,例如受到黑客攻擊或遭內部員工濫用。

此外,調查發現31%受訪機構把有「特權存取」權限的共享帳戶開放給內部人員或外界合作夥伴,當中有25%沒有採取額外的保安措施。

調查亦發現,61%的受訪機構計劃在未來12個月投放資源於資訊保安, 而有較多潛在保安風險的受訪機構較願意投資於先進的保安方案。

18%受訪機構存保安問題

取得「特權存取」成攻擊關鍵

生產力局總經理(資訊科技及業務流程)黃家偉呼籲各界,從針對海外政府、銀行、零售商和公用事業機構的大規模網絡攻擊的報告分析,取得「特權存取」往往是攻擊鏈上的關鍵一環,可構成強大的攻擊力及破壞力。

機構被黑客取得「存取特權」發動攻擊,可導致:

  • 服務中斷
  • 數據洩露
  • 財務損失
  • 聲譽受損
  • 須承擔有關法律責任

加強管理「特權存取」

R企業應該加強管理「特權存取」,特別是有提供「特權存取」共享帳戶的機構,及提供「特權存取」予資訊科技外判商或雲端服務供應商的機構。黃家偉表示,企業應該整合和集中管理用戶的身份和存取權限,同時要記錄、監察和審核特權存取的活動。企業還可以將有關管理措施結合資訊保安基建,例如入侵檢測和預防系統、數據洩漏防護和信息安全事項管理系統,提供更全面的保護。

是項調查在2016年12月進行,共成功訪問51個機構,包括金融和保險、物流和運輸、政府和公共機構、進出口、批發和零售等行業。受訪機構包括上市公司,或僱員數目300人以上的非上市公司及機構。

受訪機構所屬的商業行業

受訪機構所屬的商業行業

生產力局總經理黃家偉(中)、顧問黃敏華(左)及SSH Communications Security亞太區副總裁何思聰。生產力局總經理黃家偉(中)、顧問黃敏華(左)及SSH Communications Security亞太區副總裁何思聰。

「香港企業特權存取管治調查」報告可從http://u.hkpc.org/hk_pag下載。查詢詳情,歡迎與生產力局聯絡。