【網絡安全】港企網絡事故數目為亞太區最少 專家:或有漏報

科技 12:00 2022/10/31

分享:

分享:

Kroll網絡風險管理副董事總經理林永雄(右)表示,本港網絡安全事故數量為亞太區中最少,主要的原因可能是漏報。

網絡攻擊屢見不鮮,但本地企業組織又是否已準備好?網絡風險及安全顧問公司Kroll最新調查發現,本港企業所報告的網絡事故數字為亞太區最少,當中有何原因?有專家認為,港企事故數字低,並不代表港企保安防範意識夠高,而是因本港未有清晰指引和法例為「網絡事故」作定義,導致有部分企業未有提交報告。

【網絡安全】釣魚攻擊仍是首要威脅 4成港企明年增20%網絡安全預算

【雲端部署】銀行、零售業加速「上雲」解人才荒 跨系統整合節省遷移數據時間

Kroll今年3至4月委託Opinium向700名資訊科技、風險、保安和法律專業領域的決策者作出調查,他們平均分布在7個亞太區市場,包括香港、新加坡、澳洲等,並在今日(31日)發布最新的《亞太區網絡安全事故應變報告2022》,探討企業目前所面對的網絡攻擊及應變情況。

報告指出,平均有59%受訪亞太區機構表示,最近曾遭受導致資料外洩的網絡安全事故。其中位於馬來西亞(76%)、菲律賓(75%)及澳洲(72%)的機構所遇到網絡事故比例最高,而本港企業所報告的網絡事故數字為亞太區最少(43%)。

Kroll亞太區網絡風險管理董事總經理鄭國誠(Paul Jackson)認為,本港企業近年對網絡保安的關注度增加,了解到一旦遭到黑客攻擊,不但會癱瘓運作,更會造成不可估量的損失,甚至倒閉。

他引述報告指,惡意軟件為香港網絡安全事故的首要元兇。有68%受訪港企憂慮,網絡攻擊會造成數據損失,而最終只有40%港企出現相關情況;也有57%受訪企業擔心聲譽受損,但實際受影響只有16%。鄭國誠坦言:「有憂慮是好事,因為防範意識會更高。企業應考慮擴大對網絡專業知識的投資,網絡安全事故一定會發生,只是不知『何時』,而非『會否』發生的僥倖心態做好準備。」他補充,香港是亞太地區中,最多企業已制定相關應變計劃,情況較新加坡及日本理想。

網絡事故定義存分歧 及缺乏意識

不過,Kroll網絡風險管理副董事總經理林永雄(Neo)就認為,本港情況看似比其他地區理想,但絕不能掉以輕心:「雖然數字較低,但並非代表香港企業的防範意識夠高,而是因有部分企業漏報。」

他解釋,由於本港對網絡事故的定義仍存分歧,企業對事故發生缺乏意識。舉例,業界會認為當發現惡意軟件,已算是一宗網絡事故;但香港一般人理解的定義會是惡意軟件已進行攻擊,出現嚴重損失,才屬於網絡事故。

警惕防範外 也應看重後續應對方案

他也提及,本港目前未有法例要求機構遭受網絡攻擊時,須作出調查及呈報,也可能是本港所呈報事故數目較其他市場少的箇中原因。例如早前有酒店集團電腦系統被入侵,超過29萬客人資料外洩,就未有即時通報。Neo直言,港府可參考新加坡個人資料保護委員會、歐盟《一般資料保護規範》(GDPR)等做法,加速完善法律,否則對企業沒有阻嚇性。若相關情況持續,受影響的不止是企業,而是全港市民。

此外,兩人均指出,要將損失降到最低,企業除了警惕防範外,後續應對及後備方案也相當重要。Neo表示,目前有不少中小企資源有限,難以聘請資訊安全總監(CISO),因此選擇採用第三方供應商提供服務。但他提醒企業必須留意合約內容是否包括後備方案,「有部分服務只包含監測及收集有限資訊,而未有覆蓋應對計劃,最終損失同樣相當慘重。」

【數據安全】多間企業現數據洩露事件 澳洲擬提高罰金至3.85億元

記者:曾曉汶

《ET贏商有計》每集請來香港企業品牌,分享疫下營商Tips。即看最新一集:

開啟hket App,閱讀全文
緊貼財經時事新聞分析,讚好hket Facebook 專版
訂閱《香港經濟日報》電郵通訊
收取第一手財經新聞資訊 了解更多投資理財知識 提交代表本人同意收取香港經濟日報集團所發出的推廣訊息,你也可以查閱本網站的私隱政策使用條款