指香港企業網絡安全措施未臻完善 三大網絡安全威脅頓成無形風險
中小企資源有限,新興網絡安全問題不容忽視,專家獻策化解隱藏風險
今天的問卷調查發佈會以「對新興網絡風險的安全意識」為主題, 詳細分析有關研究結果。早前HKIRC以問卷訪問了本港超過800家不同規模的企業,他們來自各行各業,包括零售、製造和進出口、住宿和餐飲、培訓和教育、金融服務、專業機構、資訊科技及非政府組織等,是次研究對象中以香港中小企佔大多數。
HKIRC行政總裁黃家偉表示:「我們致力推動安全的網絡環境,過去數年先後針對不同範疇進行研究,深入探討企業網絡安全問題,務求做到與時並進。隨著數碼轉型的步伐一日千里,網絡安全事故也愈趨頻繁;新類型網絡安全危機更在不知不覺中產生,構成無形風險。因此,今年的問卷調查以香港企業『對新興網絡風險的安全意識』為主題,讓中小企對症下藥,制定有效策略和推出相關免費支援服務,協助企業跨越網絡安全挑戰,特別是本地中小企。」
新興三大網絡威脅
- 內部員工風險
- 使用第三方服務供應商
- 負面「搜尋引擎優化」
1.內部員工風險最高 成新興三大網絡威脅之首
歸根究底,問題癥結在於員工培訓嚴重不足。HKIRC的研究結果顯示,81%企業沒有為員工提供定期網絡安全培訓,零售、住宿和餐飲及非政府組織等行業更高達近九成,主要原因為沒有迫切需要及欠缺資源作培訓。整體而言,儘管企業了解員工可帶來的網絡風險,惟大部分卻忽略了培訓工作的重要性,致使內部員工風險成為新興三大網絡威脅的榜首,當中培訓和教育界所面對的威脅最大,脆弱度達59%。
2.使用第三方服務供應商 網絡危機不容忽視
HKIRC行政總裁黃家偉提醒大家,要慎防供應鏈的安全漏洞:「中小企一般欠缺系統開發資源,使用第三方供應商的服務,無疑是更具成本效益的做法。但千萬要小心供應鏈上黑客滿佈,一不留神就會被入侵,影響系統的機密性及完整性;甚至讓用戶錯誤下載惡意程式,造成企業更大損失。」
雖然有逾半數受訪者知悉供應鏈攻擊的風險 ,而企業面對其風險的脆弱度亦是新興三大威脅之中最低(12%),但仍有41%並無對第三方供應商採取積極的保安措施,住宿和餐飲(50%)、零售(57%)及非政府組織(59%)等行業尤甚。受訪者普遍認為只要簽訂「不披露協議書」(NDA) ,供應商便有責任確保客戶及公司資料得到妥善保障,故並無制定其他保護措施。黃家偉建議企業應多管齊下,從多方面推行防範數據外洩的措施,例如限制供應商的存取權限、在交換資料時增設密碼保護,以及定期更新供應商提供的軟件等,以策萬全。
3.「搜尋引擎優化」的雙面刃
有72%受訪企業都知道,木馬程式及病毒入侵會導致SEO排名下降,但對黑客的其他常用技倆卻感到陌生,包括「暗中篡改Robots.txt檔」或「把被懲罰過的域名指向企業網站」等,更有黑客會建立大量惡意連結至受害者的網頁,招數層出不窮,稍不留意就會誤墮陷阱。然而,單靠防火牆及防毒軟件並不足以識別潛藏網絡威脅。有半數企業正因為對負面SEO沒有充分認識,並無持續監察網站或域名的安全情況,特別是住宿和餐飲、零售及專業機構,較其他行業容易受到負面SEO攻擊入侵。
隨著數碼使用日趨普及,預料企業面對網絡安全風險亦會相應增加。然而,研究發現,即使某特定行業(如金融服務業)風險比其他行業高,只要能加強網絡威脅認知,做好保安工作,便可有效降低企業脆弱度,增加韌性。
根據調查結果,HKIRC提出以下提升企業網絡安全的最佳策略:
- 增加定期培訓,並透過網絡釣魚演習量度和評估員工的合規性和行為。
- 使用「保安接層加密技術」(Secure Socket Layer,簡稱SSL) ,以加強保護本身的數據資料,亦有助提升搜尋引擎優化的效果。
- 定期監察公司網站及網域之外,建議使用較有公信力網域以減低釣魚網站的風險,增加網絡安全性。
- 使用免費的『網絡安全員工培訓平台』(Cybersec Training Hub),可靈活彈性安排培訓課程,提高企業員工的網絡安全意識之餘,完成課程更可獲頒電子證書。
- 透過『網絡安全資訊共享夥伴計劃』(Cybersec Infohub),共享有關網絡安全資訊,攜手防禦網絡攻擊,推動各行各業緊密協作。
在數碼化的大氛圍下,香港企業整體對網絡安全威脅的意識雖有所提升,惟企業必須制定行之有效的政策,由培訓著手從根本做起,以加強應對網絡威脅的防禦能力。展望未來,網絡營商環境依然充滿挑戰,網絡安全對企業可持續發展尤為重要。HKIRC將致力與業界及商會組織加強合作,提供更多免費資源及業內交流,為各界特別是中小企業解答與網絡安全相關的問題並提供適切支援,助力構建安全的互聯網環境。
-完-
關於香港互聯網註冊管理有限公司
香港互聯網註冊管理有限公司 (HKIRC) 為香港特別行政區政府指定的非利潤分配、非法定擔保有限公司,專責從事香港地區頂級域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登記類別包括英文.com.hk、.org.hk、.net.hk、.edu.hk、.gov.hk、.idv.hk、.hk,及中文的.公司.香港、.組織.香港、.網絡.香港、.教育.香港、.政府.香港、.個人.香港、.香港,和將會在香港推出其他相關域名的服務。
傳媒聯絡
香港互聯網註冊管理有限公司
湛倩瑩
電話: +852 2319 3835
電郵: marketing@hkirc.hk
活動照片: