香港企業網絡保安指數不合格 難以面對大型攻擊
香港企業網絡保安指數不合格 難以面對大型攻擊
香港企業網絡保案準備不周全,面對大型攻擊難以快速應對。香港生產力促進局(生產力局)於本月25日公布首次「SSH香港企業網絡保安準備指數調查」結果,今次綜合企業網絡保安準備指數為45.6 (最高為100),反映本港企業雖然理解若面對網絡攻擊時需確保業務持續運作,並已採取恆常的資訊保安措施,惟在保安管理和主動性方面可以進一步加強,以應付網絡保安新威脅。
是次調查由生產力局獨立進行、企業網絡保安方案供應商SSH Communications Security贊助,以及生產力局屬下的「香港電腦保安事故協調中心」支持,旨在評估香港企業在應對網絡保安威脅方面是否準備就緒。綜合指數包括「保安風險評估」、「技術控制」、「流程控制」及「人員意識」四個範疇,以分析本地企業能否在以上方面妥善保護關鍵資訊科技系統。調查於2018年3月進行,透過電話訪問了六個行業的350間企業。
調查發現,上述四個指數分項皆未達60的理想保安準備指數門檻,當中「技術控制」(36.9)及「人員意識」(38.8)甚至低於40的可接受門檻。以行業而言,金融服務業的綜合企業網絡保安準備指數最高(60.5),零售/旅遊相關行業(41.9)及製造/貿易/物流(41.3)得分偏低。
此外,26%受訪者表示過去12個月曾遭受網絡保安攻擊,勒索軟件 (52%)、釣魚電郵(49%)及假扮高層的電郵詐騙(35%)為最常見的三種類型的攻擊。
調查並探討企業使用憑證管理的情況。憑證是用於驗證用戶或設備存取網絡服務,例如密碼、密碼匙和數碼證書的資訊。70%受訪者同意憑證管理對公司非常重要,但超過60%認為缺乏快速反應的管理和精細的存取控制,窒礙憑證管理的效用。
另一方面,43%受訪公司計劃於未來12個月加強網絡保安,首選五項保安措施依次為系統及網絡保安、端點保護、網絡保安培訓、威脅檢測技術及網絡威脅情報。
生產力局資訊科技部總經理黃家偉表示:「去年,我們留意到網絡犯罪分子利用侵入供應鏈上游供應商的軟件更新機制,繞過企業的防禦。金融科技和智能製造等將令供應鏈愈趨整合,或會成下一個攻擊目標。為此,香港電腦保安事故協調中心最近特別編制了保安指引,協助業界了解和更有效地應對供應鏈網絡的保安威脅。」
黃家偉建議企業對會連接其資訊科技基建的夥伴,進行全面的網絡保安風險評估,並嚴格控制其存取權,以加強第三方風險管理。同時鼓勵企業採用網絡威脅檢測技術、與業內同行協作互享網絡威脅情報,並向所有員工提供網絡保安培訓及進行定期演習,確保人員時刻保持警惕。