网络安全风险防不胜防?网上培训平台助企业有效应对网络安全威胁
随着信息科技应用越来越普及,为企业创造更便捷的营商环境,但同时亦增加了网络安全的风险,企业营运时必须「打醒十二分精神」,以免遭受不法分子的攻击而遭受损失。想知道做好网络安全有多重要,以及如何避免公司成为「受害者」?立即跟大家解构个中详情。
随着数码转型的大趋势,愈来愈多企业将信息科技或数码科技融入业务中。根据去年底的调查发现,逾六成本港中小企表示其业务于过去一年变得更数码化,然而,这也带来了数码安全威胁的挑战。调查显示,逾两成受访中小企对数码安全威胁感到忧虑。据香港计算机保安事故协调中心数据,该中心去年共处理8,393宗保安事故,较2021年上升9%。其中,主要事故包括殭尸网络和网络钓鱼,而且逾六成与电子商贸、网上银行及加密货币有关。
伪冒电邮屡见不鲜 损失可达数百万元
香港大中华中小企业商会青年事务部主席熊俊硕表示:「本港大部分中小企经营者都知道网络安全的重要性,并对钓鱼电邮多加提防。然而,由于资源有限或对相关知识认识不足,企业很少向员工教育相关知识,这使得员工不自觉地成为企业的潜在漏洞。」熊俊硕指出,随着互联网和电邮的普及,尤其中小企业依赖电邮作为与海外客户沟通的主要渠道。包括他在内的不少会员均曾遇到网络安全威胁,尤以网络钓鱼最为常见。
熊俊硕指出,他们日常不时会收到一些自称买家的洽商电邮,「这些『买家』往往使用与我们合作伙伴相似的名字和电邮,甚至冒充相关公司的职员与我们联络,要求我们生产并寄出相关货品给他们。」他举例说,早前曾收到一家外国超市的电邮,向他们订购一批价值数百万港元的货品。虽然该超市名称及寄件人均真实存在,但经细心查证后发现该电邮地址与其合作超市的电邮稍有差别,例如加入了个别部门的名称。最终,他们揭发该宗交易是诈骗,幸避免了损失。
「另外早前有一名商会会员表示,该公司电邮系统遭黑客入侵,并修改其供客户入账的银行户口资料,导致货款落入骗徒手中。而由于该黑客更拦截了公司与客户间的电邮,彼此失去联络,最后该会员透过私人电邮联络客户了解情况,才揭发电邮系统被盗用。」熊俊硕表示,类似的事件近年屡见不鲜,而中小企损失的金额往往由数千至数百万元不等。他坦言,若想避免公司成为「受害者」,企业负责人与员工均需要具备相关的网络安全防范意识和知识。
善用专业资源 提升会员网络安全意识
目前,本港约98%的企业是中小企业。然而,熊俊硕重申,由于资源和人力有限,他了解到较少中小企会主动安排员工参加坊间的网络安全课程,更遑论聘请专责人员或委托第三方供货商处理公司的网络安全问题。「部分公司经营者可能抱着侥幸心态,直至遭到损失才会认真寻找解决方法。」
根据香港互联网注册管理有限公司(HKIRC)去年进行的网络安全员工培训调查,不同规模的企业在IT资源和员工接受网络安全培训的情况存在明显差异。在受访企业中,1-10人的小微企只有约34%设有IT部门或专职员工,远低于11-50人的中型企业(53%)及50人以上的大型企业(85%)。此外,只有32%小微企表示公司会为新员工入职时提供网络安全培训,这一情况低于中型(50%)及大型企业(58%)。值得留意的是,有26%大型企业员工表示,相关培训只针对高层员工。
为避免被不法之徒有机可乘,熊俊硕表示商会过去数年一直希望举办网络安全活动,提高会员对网络安全的意识,但坊间的机构提供的培训都注重较进阶的网络安全技术层面,并不适用于一般员工,因此一直未有行动。直至在去年留意到香港互联网注册管理有限公司(HKIRC)推出针对中小企的网络安全员工培训平台(Cybersec Training Hub),其培训理念、内容及方式均十分符合商会的期望,有效针对中小企员工在网络安全意识薄弱的痛点给予免费且专业的支持。
熊俊硕补充:「Cybersec Training Hub给我的第一印象是User-Friendly及『贴地』,透过影片及互动的题目吸引对『网络安全』议题缺乏兴趣的员工去完成培训。再加上培训过程有很多贴近本地工作环境的案例分享,以及一些工作部门的专题培训,例如会计部、市场部及人力资源部等,令他们能够易地而处,投入其中。简单20分钟的网上自学培训便能做到我们过往花很多人力物力都未能做到的效果。」
有见及此,香港大中华中小企业商会与HKIRC合作推出商会专属的培训网址(hkgcsmeaa.cyberhub.hk),期望会员能透过其Cybersec Training Hub平台降低安全风险,给予会员实际的支持,藉以保障会员的利益。此外,商会亦借着举办不同活动,如研讨会及在「香港中小企创新大奖」中加入网络安全元素,为会员公司提供更多相关信息。
网上自助培训平台 助企业降低网络安全风险
HKIRC网络安全经理林嘉棋表示,Cybersec Training Hub乃本港首个免费的企业自助网络安全培训平台,企业的员工可以自行登入平台(https://cyberhub.hk/),按照平台指引自行学习和接受培训,即使缺乏IT知识的员工亦可参与。
「平台提供的培训内容除了实用外,更有本地数据和案例,贴近现实工作环境,可以帮助参与的员工获得基本网络安全意识和技能。」林嘉棋指出,参与培训的员工最后须接受一个小测试,完成和合格后,将可获得电子证书。
熊俊硕期望,一众会员公司与其他企业能积极参与商会的活动,及善用HKIRC的网上自助培训平台,共同提升本港企业员工的网络安全意识。「改善网络安全需要公司上下的参与,所以企业经营者除了向同事灌输正确的网络安全意识外,更应鼓励他们学习有关知识,降低因网络安全带来的营运风险。」
全篇访问内容: 按此