網絡保安由系統設計做起 生產力促進局籲企業勿忽視細節

網絡保安由系統設計做起 生產力促進局籲企業勿忽視細節

報告表明香港上年通報的網絡保安事故超過一萬宗，按年增加55%。香港生產力促進局（生產力局）呼籲企業「從設計做起」，加強資訊保安，阻截個人資料外洩，並防範針對個人和財務數據的網絡攻擊。

生產力局屬下的「香港電腦保安事故協調中心」總結2018年香港資訊保安狀況時表示，協調中心去年共處理10,081宗保安事故，按年增加百分之55；其中殭屍網絡攻擊連續兩年激升，數目較2017年大增百分之82（共3,783宗，佔總事故百分之37），惡意軟件（3,181宗，佔百分之32）和釣魚網站（2,101宗，佔百分之21）亦為主要的網絡事故。

協調中心表示，保安事故數字大幅上升的主要原因之一，是因為黑客幫助其他缺乏相關技術的犯罪份子提供一站式攻擊服務，降低了網絡犯罪的入場門檻；此外，全球各地攜手合作打擊多個殭屍網絡，並將被感染的本地電腦IP地址名單交予協調中心跟進，因此令協調中心錄得更多保安事故的報告。

惡意軟件方面，雖然去年接獲的加密勒索軟件事故報告（114宗）較以往少，但仍有2,426宗本地電腦受Wannacry勒索軟件的感染個案；縱使這些電腦不會因為Wannacry被鎖上，這些個案仍然反映了被感染的電腦用戶未有採取補救措施的漏洞。

展望今年的資訊保安趨勢，協調中心預計網絡罪犯會針對需要處理大量個人或財務資料的大型企業發動更多網絡攻擊，並藉此圖利。此外，新興的網絡應用和科技（例如流動支付服務和物聯網設備），或會因缺乏保安意識和防備而成為攻擊目標。

另外，以榨取金錢為目標的網絡犯罪日趨猖獗，企業的風險管理意識持續薄弱，加上世界各地對個人資料保障引入更嚴厲的規管，包括歐盟的《一般資料保護規則》（GDPR），要求所有機構，不論行業或規模，皆需通報數據洩露事故，社會上預見有關外洩個人資料事故的報告將進一步上升。

協調中心呼籲企業提升保安風險管理以減低網絡威脅；在開發新服務和技術時，切勿為了追趕市場週期和方便使用等因素而忽視基本的資訊保安，並採用「從設計做起」的保安原則。企業可透過採用雙重認證、確保配置安全、修補安全漏洞，並減少系統受到網絡攻擊等措施，於流程和技術層面加強保安。此外，不應為貪方便而給予員工過多的系統權限，還要盡力提高員工的網絡保安意識。企業亦要小心評估合作夥伴和服務供應商的網絡保安風險。