【網絡安全】港企網絡安全措施未完善 內部員工意識不足成威脅之首

科技 19:00 2022/09/08

分享:

分享:

HKIRC行政總裁黃家偉提醒,應慎防供應鏈的安全漏洞,小心供應鏈上黑客滿佈,一不留神就會被入侵,影響系統的機密性及完整性;甚至讓用戶錯誤下載惡意程式,造成企業更大損失。

疫情持續加速數碼轉型步伐,各行各業的數碼使用率急增,惟網絡安全事故也愈趨頻繁。香港互聯網註冊管理有限公司(HKIRC)最新調查指出,新興三大無形網絡安全威脅,分別為:內部員工風險、供應鏈風險及負面SEO風險,資源有限的中小企尤須倍加留意。 

【網絡攻擊】洲際酒店集團遭網絡攻擊 訂房系統無法使用

【網絡保安】網絡安全更嚴峻 教育、醫療機構成目標

HKIRC早前以問卷訪問了本港超過800家不同規模、來自各行各業的企業,包括零售、製造和進出口、住宿和餐飲、培訓和教育、金融服務、專業機構、資訊科技及非政府組織等,以香港中小企佔大多數。 

該機構發現,新興三大網絡威脅分別為:1)內部員工風險、2)使用第三方服務供應商、及3)負面「搜尋引擎優化」 。

首先內部員工風險方面,HKIRC的研究結果顯示,81%企業沒有為員工提供定期網絡安全培訓,零售、住宿和餐飲及非政府組織等行業更高達近九成,主要原因為沒有迫切需要及欠缺資源作培訓。整體而言,儘管企業了解員工可帶來的網絡風險,惟大部分卻忽略了培訓工作的重要性,致使內部員工風險成為新興三大網絡威脅的榜首,當中培訓和教育界所面對的威脅最大,脆弱度達59%。 

其次則為使用第三方服務供應商時,出現數據外洩的機會。有使用第三方服務供應商的受訪企業有五成表示,會與供應商分享客戶及公司數據。HKIRC行政總裁黃家偉提醒,應慎防供應鏈的安全漏洞,小心供應鏈上黑客滿佈,一不留神就會被入侵,影響系統的機密性及完整性;甚至讓用戶錯誤下載惡意程式,造成企業更大損失。

非政府組織、零售 未對第三方供應商採取保安措施

報告提到,雖然有逾半數受訪者知悉供應鏈攻擊的風險 ,而企業面對其風險的脆弱度亦是新興三大威脅之中最低(12%),但仍有41%並無對第三方供應商採取積極的保安措施,住宿和餐飲(50%)、零售(57%)及非政府組織(59%)等行業尤甚。

受訪者普遍認為只要簽訂「不披露協議書」(NDA) ,供應商便有責任確保客戶及公司資料得到妥善保障,故並無制定其他保護措施。黃家偉建議企業應多管齊下,從多方面推行防範數據外洩的措施,例如限制供應商的存取權限、在交換資料時增設密碼保護,以及定期更新供應商提供的軟件等。 

未制定保安措施 削弱企業防禦能力

而負面「搜尋引擎優化」方面,受訪企業中有六成均重視SEO,特別是教育界及資訊科技界。但事實上,網絡黑客經常用盡千方百計破壞企業的SEO部署。惟有75%未曾聽聞「負面SEO攻擊」,故並無制定相應保安措施應對威脅,削弱企業的防禦能力。 

有72%受訪企業了解,木馬程式及病毒入侵會導致SEO排名下降,但對黑客的其他常用技倆卻感到陌生,包括「暗中篡改Robots.txt檔」或「把被懲罰過的域名指向企業網站」等,更有黑客會建立大量惡意連結至受害者的網頁,招數層出不窮,稍不留意就會誤墮陷阱。然而,單靠防火牆及防毒軟件並不足以識別潛藏網絡威脅。有半數企業正因為對負面SEO沒有充分認識,並無持續監察網站或域名的安全情況,特別是住宿和餐飲、零售及專業機構,較其他行業容易受到負面SEO攻擊入侵。 

根據調查結果,HKIRC向企業提出五大建議: 

  • 增加定期培訓,並透過網絡釣魚演習量度和評估員工的合規性和行為。 
  • 使用「保安接層加密技術」(Secure Socket Layer,簡稱SSL) ,以加強保護本身的數據資料,亦有助提升搜尋引擎優化的效果。 
  • 定期監察公司網站及網域之外,建議使用較有公信力網域以減低釣魚網站的風險,增加網絡安全性。 
  • 使用免費的『網絡安全員工培訓平台』(Cybersec Training Hub),提高企業員工的網絡安全意識,完成課程更可獲頒電子證書。 
  • 透過『網絡安全資訊共享夥伴計劃』(Cybersec Infohub),共享有關網絡安全資訊,攜手防禦網絡攻擊,推動各行各業緊密協作。 

【黑客攻擊】「親俄」黑客組織向日本宣戰 癱瘓政府及東京地鐵網站

責任編輯:曾曉汶

《ET贏商有計》每集請來香港企業品牌,分享疫下營商Tips。即看最新一集:

開啟hket App,閱讀全文
緊貼財經時事新聞分析,讚好hket Facebook 專版
訂閱《香港經濟日報》電郵通訊
收取第一手財經新聞資訊 了解更多投資理財知識 提交代表本人同意收取香港經濟日報集團所發出的推廣訊息,你也可以查閱本網站的私隱政策使用條款