數碼港資料外洩事故等引起網絡保安疑慮,電腦保安事故協調中心發言人陳仲文在專訪中表示,不少中小企對黑客攻擊存有誤解,不知黑客以工具自動尋找目標,非只針對資料較多的大企業,令保安薄弱的中小企易成目標,而約20%中小企沒有網絡保安預算,忽略事故後的開支或達保安措施成本的幾十倍。他又預告,隨人工智能成熟,未來黑客攻擊將大幅增加,中小企須盡快加強保安。
記者︰曾偉龍
數碼港等各機構接連發生資料外洩事故,電腦保安事故協調中心發言人陳仲文接受《am730》專訪時表示,很多中小企業仍低估網絡安全風險,以為黑客只會針對較大規模的企業攻擊,但黑客普遍以工具搜尋,以取易不取難方式選擇攻擊目標,未必考慮企業本身規模,「見到冇update(更新或安裝修補程式),入咗去攞咗資料先睇重唔重要」,所以保安程度低的中小企反可能面對更大風險。中心去年調查有73%中小企在過去12個月內遭受網絡攻擊,按年增10個百分點。
陳仲文續指,企業較關注銷售營利,忽略因網絡保安措施不足招致的風險損失,以去年中心調查所知,近90%中小企的網絡安全預算不足10萬元,20%預算為0元;而相關預算不足10萬元的大型企業則有58%。陳仲文指,外國數據顯示,在網絡安全事故發生後的補償支出,往往是保安措施成本的幾十倍,但不少企業抱住「未殺到埋身」的心態,隨時招致損失。
被問及中小企的常犯錯誤,陳仲文指,根據中心接收的個案,不少企業經常沒有更新系統或安裝修補程式,或者使用含木馬程式的免費軟件。不少系統亦因沒有使用雙重驗證技術,令系統被盜用,部分個案是因有員工在不同帳戶使用同一密碼,當其個人帳戶資料被盜,黑客便可利用密碼嘗試登入該員工的企業帳戶,從而進入系統。
AI愈趨成熟 黑客技術門檻大幅降低
陳仲文又提醒,人工智能愈趨成熟,成為黑客的技術門檻亦大幅降低,「用AI就可生成惡意程式碼,或釣魚網站介面或釣魚電郵;去暗網買已外洩個人資料,幾仙一個……只要有錢,你都可做(黑客)」,人工智能亦助長騙徒用「深偽(Deepfake)」技術假冒身份行騙。他認為,未來網絡攻擊成本肯定更低,去年中心處理逾3,700宗網絡釣魚事故,按年增27%,預計攻擊將大幅上升,中小企需盡快提供網絡保安水平,避免成為黑客目標。
數碼港去年9月爆出資料外洩事故後,商界的網絡安全意識有所提升。電腦保安事故協調中心發言人陳仲文表示,數碼港、消委會及其他非牟利機構連番有資料外洩後,公眾關注程度增加,連帶企業的網絡保安意識亦有所提升,舉例指數碼港事故自去年9月曝光後,近半年接獲約10宗關於企業網絡滲透測試的查詢,以尋找系統漏洞,增幅以倍數計。但他憂慮,隨住相關新聞的熱度降低,商界對網絡安全的重視程度未能延續。
他表示,中小企網絡安全意識不足,亦未必知道坊間有很多合適產品可以使用,價格約為數百元至數千元不等,中小企有能力負擔,亦可考慮使用科技券加強網絡安全。他又建議,企業可善用免費的網絡安全資源,舉例中心網站有多個免費工具,協助中小企評估網絡保安狀況,以及提供預防勒索軟件和釣魚攻擊的方法等。
除投放資源加強網絡安全硬件外,陳仲文提到,企業員工的網絡安全意識薄弱,企業可為員工安排「釣魚演練」,作出針對性培訓,「(中招)比較多係HR(人力資源)或者Finance(財務),因為佢哋成日收求職者或者Vendor(供應商)嘅email」,而且員工在測試中「中招」,印象亦較深刻,未來亦會提高警覺,並建議企業在員工入職或迎新日加入資安培訓。