HKIRC「对新兴网络风险的安全意识」研究 | Hong Kong Internet Registration Corporation Limited
新闻发佈

HKIRC「对新兴网络风险的安全意识」研究

2022-09-08
HKIRC「对新兴网络风险的安全意识」研究
指香港企业网络安全措施未臻完善 三大网络安全威胁顿成无形风险
中小企资源有限,新兴网络安全问题不容忽视,专家献策化解隐藏风险
香港,2022年9月8日 – 香港互联网註册管理有限公司 (简称HKIRC) 今天发表年度企业网络安全研究结果,揭示新兴三大无形网络安全威胁,分別为内部员工风险、供应链风险及负面SEO风险,资源有限的中小企尤须倍加留意。

今天的问卷调查发佈会以「对新兴网络风险的安全意识」为主题, 详细分析有关研究结果。早前HKIRC以问卷访问了本港超过800家不同规模的企业,他们来自各行各业,包括零售、制造和进出口、住宿和餐饮、培训和教育、金融服务、专业机构、资讯科技及非政府组织等,是次研究对象中以香港中小企佔大多数。

HKIRC行政总裁黄家伟表示:「我们致力推动安全的网络环境,过去数年先后针对不同范畴进行研究,深入探讨企业网络安全问题,务求做到与时并进。随着数码转型的步伐一日千里,网络安全事故也愈趋频繁;新类型网络安全危机更在不知不觉中产生,构成无形风险。因此,今年的问卷调查以香港企业『对新兴网络风险的安全意识』为主题,让中小企对症下药,制定有效策略和推出相关免费支援服务,协助企业跨越网络安全挑战,特別是本地中小企。」

新兴三大网络威胁
  1. 内部员工风险
  2. 使用第三方服务供应商
  3. 负面「搜寻引擎优化」
1.内部员工风险最高 成新兴三大网络威胁之首
疫情持续加速数码转型步伐,各行各业的数码使用率整体急增63%,培训和教育行业的增幅最高,达85%。然而,近七成员工坦言自身的网络安全意识不足,当中培训和教育、制造和进出口以及零售行业更面临最大员工风险漏洞,情况教人忧虑。

归根究底,问题癥结在于员工培训严重不足。HKIRC的研究结果显示,81%企业沒有为员工提供定期网络安全培训,零售、住宿和餐饮及非政府组织等行业更高达近九成,主要原因为沒有迫切需要及欠缺资源作培训。整体而言,儘管企业了解员工可带来的网络风险,惟大部分却忽略了培训工作的重要性,致使内部员工风险成为新兴三大网络威胁的榜首,当中培训和教育界所面对的威胁最大,脆弱度达59%。

2.使用第三方服务供应商 网络危机不容忽视
受访企业中有59%均有使用第三方服务供应商,当中有五成更与供应商分享客户及公司数据。受业务性质使然,非政府组织等行业、零售及制造和进出口行业所面对的供应链风险较其他行业高。

HKIRC行政总裁黄家伟提醒大家,要慎防供应链的安全漏洞:「中小企一般欠缺系统开发资源,使用第三方供应商的服务,无疑是更具成本效益的做法。但千万要小心供应链上黑客满佈,一不留神就会被入侵,影响系统的机密性及完整性;甚至让用户错误下载恶意程式,造成企业更大损失。」

虽然有逾半数受访者知悉供应链攻击的风险 ,而企业面对其风险的脆弱度亦是新兴三大威胁之中最低(12%),但仍有41%并无对第三方供应商採取积极的保安措施,住宿和餐饮(50%)、零售(57%)及非政府组织(59%)等行业尤甚。受访者普遍认为只要签订「不披露协议书」(NDA) ,供应商便有责任确保客户及公司资料得到妥善保障,故并无制定其他保护措施。黄家伟建议企业应多管齐下,从多方面推行防范数据外洩的措施,例如限制供应商的存取权限、在交换资料时增设密码保护,以及定期更新供应商提供的软件等,以策万全。

3.「搜寻引擎优化」的双面刃
时至今天,大部分企业都利用「搜寻引擎优化」(SEO) 提升网站在关键字搜寻结果中的排名,以增加网上曝光率,创造商机。受访企业中有六成均重视SEO,特別是教育界及资讯科技界。但有多少人知道,网络黑客经常用尽千方百计破坏企业的SEO部署?儘管企业认识SEO的作用及优势,但原来有75%未曾听闻「负面SEO攻击」,故并无制定相应保安措施应对威胁,削弱企业的防御能力。

有72%受访企业都知道,木马程式及病毒入侵会导致SEO排名下降,但对黑客的其他常用技俩却感到陌生,包括「暗中篡改Robots.txt档」或「把被惩罚过的域名指向企业网站」等,更有黑客会建立大量恶意连结至受害者的网页,招数层出不穷,稍不留意就会误堕陷阱。然而,单靠防火墙及防毒软件并不足以识別潜藏网络威胁。有半数企业正因为对负面SEO沒有充分认识,并无持续监察网站或域名的安全情况,特別是住宿和餐饮、零售及专业机构,较其他行业容易受到负面SEO攻击入侵。

专家五大建议 提升网络安全的最佳策略

随着数码使用日趋普及,预料企业面对网络安全风险亦会相应增加。然而,研究发现,即使某特定行业(如金融服务业)风险比其他行业高,只要能加犟网络威胁认知,做好保安工作,便可有效降低企业脆弱度,增加韧性。

根据调查结果,HKIRC提出以下提升企业网络安全的最佳策略:

  1. 增加定期培训,并透过网络钓鱼演习量度和评估员工的合规性和行为。
  2. 使用「保安接层加密技术」(Secure Socket Layer,简称SSL) ,以加犟保护本身的数据资料,亦有助提升搜寻引擎优化的效果。
  3. 定期监察公司网站及网域之外,建议使用较有公信力网域以减低钓鱼网站的风险,增加网络安全性。
  4. 使用免费的『网络安全员工培训平台』(Cybersec Training Hub),可灵活弹性安排培训课程,提高企业员工的网络安全意识之余,完成课程更可获颁电子证书。
  5. 透过『网络安全资讯共享伙伴计划』(Cybersec Infohub),共享有关网络安全资讯,携手防御网络攻击,推动各行各业紧密协作。
与多方协作 共建安全互联网环境
整体而言,面对新兴三大网络威胁,金融服务及资讯科技界的保安能力尤佳,而零售业情况最使人忧心。儘管如此,内部员工风险成为一众企业面对的最大挑战。调查结果显示,大半数受访企业均沒有为员工提供适切培训,最大原因是近四成企业决策人认为沒有必要,亦有近三成因欠缺资源而束手无策。

在数码化的大氛围下,香港企业整体对网络安全威胁的意识虽有所提升,惟企业必须制定行之有效的政策,由培训着手从根本做起,以加犟应对网络威胁的防御能力。展望未来,网络营商环境依然充满挑战,网络安全对企业可持续发展尤为重要。HKIRC将致力与业界及商会组织加犟合作,提供更多免费资源及业内交流,为各界特別是中小企业解答与网络安全相关的问题并提供适切支援,助力构建安全的互联网环境。

-完-

关于香港互联网註册管理有限公司

香港互联网註册管理有限公司(HKIRC)为香港特別行政区政府指定的非利润分配、非法定担保有限公司,专责从事香港地区顶级域名(即.hk及.香港)的行政工作。HKIRC所提供的域名登记类別包括英文的.com.hk、.org.hk、.net.hk、edu.hk、.gov.hk、.idv.hk、.hk,以及中文的.公司.香港、.组织.香港、.网络.香港、.教育.香港、.政府.香港、.个人.香港、.香港,以及将会在香港推出其他相关域名的服务。

传媒联络
香港互联网註册管理有限公司
湛倩莹
电话: +852 2319 3835
电邮: marketing@hkirc.hk

 

活动照片:
香港互联网註册管理有限公司行政总裁黄家伟先生发佈「对新兴网络风险的安全意识」研究结果,揭示新兴三大无形网络安全威胁。
行政总裁黄家伟先生指出企业内部员工风险成新兴三大网络威胁之首,研究反映企业欠足够员工培训。
研究显示有半数受访企业对负面SEO沒有充分认识,并无持续监察网站或域名的安全情况,容易受到负面SEO攻击入侵。
行政总裁黄家伟先生呼吁企业使用第三方供应商的服务时,须多方面制定防范数据外洩的措施,免受供应链攻击。
行政总裁黄家伟先生提出五大建议,提升企业对网络安全的韧性。
文件下载

HKIRC Survey on Cybersecurity Awareness about Emerging Risks 2022