最新消息

HKIRC「对新兴网络风险的安全意识」研究

2022-09-08

HKIRC「对新兴网络风险的安全意识」研究

指香港企业网络安全措施未臻完善 三大网络安全威胁顿成无形风险

中小企资源有限,新兴网络安全问题不容忽视,专家献策化解隐藏风险

                                                                             

香港,2022年9月8日 – 香港互联网註册管理有限公司 (简称HKIRC) 今天发表年度企业网络安全研究结果,揭示新兴三大无形网络安全威胁,分別为内部员工风险、供应链风险及负面SEO风险,资源有限的中小企尤须倍加留意。

 

今天的问卷调查发佈会以「对新兴网络风险的安全意识」为主题, 详细分析有关研究结果。早前HKIRC以问卷访问了本港超过800家不同规模的企业,他们来自各行各业,包括零售、制造和进出口、住宿和餐饮、培训和教育、金融服务、专业机构、资讯科技及非政府组织等,是次研究对象中以香港中小企佔大多数。

 

HKIRC行政总裁黄家伟表示:「我们致力推动安全的网络环境,过去数年先后针对不同范畴进行研究,深入探讨企业网络安全问题,务求做到与时并进。随着数码转型的步伐一日千里,网络安全事故也愈趋频繁;新类型网络安全危机更在不知不觉中产生,构成无形风险。因此,今年的问卷调查以香港企业『对新兴网络风险的安全意识』为主题,让中小企对症下药,制定有效策略和推出相关免费支援服务,协助企业跨越网络安全挑战,特別是本地中小企。」

 

新兴三大网络威胁

  1. 内部员工风险
  2. 使用第三方服务供应商
  3. 负面「搜寻引擎优化」

 

  1. 内部员工风险最高 成新兴三大网络威胁之首

疫情持续加速数码转型步伐,各行各业的数码使用率整体急增63%,培训和教育行业的增幅最高,达85%。然而,近七成员工坦言自身的网络安全意识不足,当中培训和教育、制造和进出口以及零售行业更面临最大员工风险漏洞,情况教人忧虑。

 

归根究底,问题癥结在于员工培训严重不足。HKIRC的研究结果显示,81%企业沒有为员工提供定期网络安全培训,零售、住宿和餐饮及非政府组织等行业更高达近九成,主要原因为沒有迫切需要及欠缺资源作培训。整体而言,儘管企业了解员工可带来的网络风险,惟大部分却忽略了培训工作的重要性,致使内部员工风险成为新兴三大网络威胁的榜首,当中培训和教育界所面对的威胁最大,脆弱度达59%。

 

  1. 使用第三方服务供应商 网络危机不容忽视

受访企业中有59%均有使用第三方服务供应商,当中有五成更与供应商分享客户及公司数据。受业务性质使然,非政府组织等行业、零售及制造和进出口行业所面对的供应链风险较其他行业高。

 

HKIRC行政总裁黄家伟提醒大家,要慎防供应链的安全漏洞:「中小企一般欠缺系统开发资源,使用第三方供应商的服务,无疑是更具成本效益的做法。但千万要小心供应链上黑客满佈,一不留神就会被入侵,影响系统的机密性及完整性;甚至让用户错误下载恶意程式,造成企业更大损失。」

 

虽然有逾半数受访者知悉供应链攻击的风险 ,而企业面对其风险的脆弱度亦是新兴三大威胁之中最低(12%),但仍有41%并无对第三方供应商採取积极的保安措施,住宿和餐饮(50%)、零售(57%)及非政府组织(59%)等行业尤甚。受访者普遍认为只要签订「不披露协议书」(NDA) ,供应商便有责任确保客户及公司资料得到妥善保障,故并无制定其他保护措施。黄家伟建议企业应多管齐下,从多方面推行防范数据外洩的措施,例如限制供应商的存取权限、在交换资料时增设密码保护,以及定期更新供应商提供的软件等,以策万全。

 

  1. 「搜寻引擎优化」的双面刃

时至今天,大部分企业都利用「搜寻引擎优化」(SEO) 提升网站在关键字搜寻结果中的排名,以增加网上曝光率,创造商机。受访企业中有六成均重视SEO,特別是教育界及资讯科技界。但有多少人知道,网络黑客经常用尽千方百计破坏企业的SEO部署?儘管企业认识SEO的作用及优势,但原来有75%未曾听闻「负面SEO攻击」,故并无制定相应保安措施应对威胁,削弱企业的防御能力。

 

有72%受访企业都知道,木马程式及病毒入侵会导致SEO排名下降,但对黑客的其他常用技俩却感到陌生,包括「暗中篡改Robots.txt档」或「把被惩罚过的域名指向企业网站」等,更有黑客会建立大量恶意连结至受害者的网页,招数层出不穷,稍不留意就会误堕陷阱。然而,单靠防火墙及防毒软件并不足以识別潜藏网络威胁。有半数企业正因为对负面SEO沒有充分认识,并无持续监察网站或域名的安全情况,特別是住宿和餐饮、零售及专业机构,较其他行业容易受到负面SEO攻击入侵。

 

专家大建议 提升网络安全的最佳策略

随着数码使用日趋普及,预料企业面对网络安全风险亦会相应增加。然而,研究发现,即使某特定行业(如金融服务业)风险比其他行业高,只要能加犟网络威胁认知,做好保安工作,便可有效降低企业脆弱度,增加韧性。

根据调查结果,HKIRC提出以下提升企业网络安全的最佳策略:

  1. 增加定期培训,并透过网络钓鱼演习量度和评估员工的合规性和行为。
  2. 使用「保安接层加密技术」(Secure Socket Layer,简称SSL) ,以加犟保护本身的数据资料,亦有助提升搜寻引擎优化的效果。
  3. 定期监察公司网站及网域之外,建议使用较有公信力网域以减低钓鱼网站的风险,增加网络安全性。
  4. 使用免费的『网络安全员工培训平台』(Cybersec Training Hub),可灵活弹性安排培训课程,提高企业员工的网络安全意识之余,完成课程更可获颁电子证书。
  5. 透过『网络安全资讯共享伙伴计划』(Cybersec Infohub),共享有关网络安全资讯,携手防御网络攻击,推动各行各业紧密协作。

 

与多方协作 共建安全互联网环境

整体而言,面对新兴三大网络威胁,金融服务及资讯科技界的保安能力尤佳,而零售业情况最使人忧心。儘管如此,内部员工风险成为一众企业面对的最大挑战。调查结果显示,大半数受访企业均沒有为员工提供适切培训,最大原因是近四成企业决策人认为沒有必要,亦有近三成因欠缺资源而束手无策。

在数码化的大氛围下,香港企业整体对网络安全威胁的意识虽有所提升,惟企业必须制定行之有效的政策,由培训着手从根本做起,以加犟应对网络威胁的防御能力。展望未来,网络营商环境依然充满挑战,网络安全对企业可持续发展尤为重要。HKIRC将致力与业界及商会组织加犟合作,提供更多免费资源及业内交流,为各界特別是中小企业解答与网络安全相关的问题并提供适切支援,助力构建安全的互联网环境。

 

- 完 -

 

关于香港互联网註册管理有限公司

香港互联网註册管理有限公司(HKIRC)为香港特別行政区政府指定的非利润分配、非法定担保有限公司,专责从事香港地区顶级域名(即.hk及.香港)的行政工作。HKIRC所提供的域名登记类別包括英文的.com.hk、.org.hk、.net.hk、edu.hk、.gov.hk、.idv.hk、.hk,以及中文的.公司.香港、.组织.香港、.网络.香港、.教育.香港、.政府.香港、.个人.香港、.香港,以及将会在香港推出其他相关域名的服务。

 

传媒联络

香港互联网註册管理有限公司

湛倩莹

电话: +852 2319 3835

电邮: marketing@hkirc.hk

 

活动照片:

文件下载