香港個人資料私隱專員公署及香港生産力促進局・網絡安全今公布「香港企業網絡保安準備指數及私隱認知度」調查報告結果,指「香港企業網絡保安準備指數」錄得 47.0 點,較去年下挫6.3 點,是指數成立以來最大跌幅,中小企(43.6點)及大型企業(62.5點)的指數均錄得跌幅,分別下跌7.1點及4.1點,形容情況值得關注。
生產力局數碼轉型部總經理陳仲文指,為了解本地企業的網絡保安現狀及變化,私隱專員公署委託生產力局·網絡安全於今年9月以電話訪問309家中小企及69家大企業,而該378家企業分別來自零售和旅遊相關(27%)、製造、貿易和物流(26%)等行業,其中,資訊和通訊技術(48.6點)為唯一錄得升幅的行業(+2.2),零售和旅遊相關(33.3點)則成為指數最低、且跌幅最大(-12.5)的行業。
陳仲文續指,指數由「保安政策風險評估」、「技術控制」、「流程控制」及「建立員工意識」4個範疇組成,除分數最低的人員意識上升0.1點外,另外3項均錄得5點或以上的跌幅。他分析,進行網絡保安風險評估的企業由去年五成急跌至今年的三成七,相信「保安政策風險評估」下跌8.9點與在風險評估方面的疏忽有關,至於下跌11.2點的「技術控制」分項,他則認為原因之一為保安更新及、修補漏洞及採取網絡威脅防護的企業都較去年有所減少。
截至9月,香港電腦保安事故協調中心(HKCERT)今年共錄得13 930宗事故 ,較去年同期大幅飆升20.4%,網絡釣魚佔逾五成。陳仲文表示,是次調查結果與HKCERT數據吻合;調查顯示,過去12個月內有73%企業曾遇到網絡安全攻擊,按年增加8個百分點,達歷年新高,其中更有七成二屬外部攻擊。
個人資料私隱專員鍾麗玲解釋,96%企業曾在過去12個月內遇到釣魚攻擊,並發現有11%企業曾遇「攻擊企業的網上服務帳戶」,成為企業過去12個月面對的第5大網絡安全攻擊 ;而在釣魚攻擊中,亦發現「假冒其他機構的網絡廣告」、「使用人工智能(AI)或生成式AI的釣魚攻擊」及「使用QR Code的釣魚攻擊」3種新攻擊。
她總結,企業未來12個月加強網絡保安面臨4大挑戰,包括「欠缺IT支援及管理人手」(44%)、「網絡保安需求隨時間變化,需要多樣化的投資」(42%)、「需要龐大的基建投資」(38%),網絡保安預算較去年80%增長至82%,並有未來44%企業有計劃在未來12個月內加強網絡保安。
-
鍾麗玲有介紹私隱專員公署年度專題「私隱認知度」,指企業預計運用相關科技所涉及的私隱風險處於低及中分線之間;根據數據,僅37%企業於業務營運中有應用於任何新興科技,其中「會就應對使用相關科技所帶來的私隱風險提供到內部指引的,亦不足五成。有31%企業認為香港的個人資料私隱保障不足或嚴重不足,並有51%對保障水平持中立態度。
-
鍾麗玲認為,網絡保安是數碼轉型不可或缺的一部分,故企業應投放更多資源以達60至70點的級別。陳仲文建議企業定期進行網絡保安風險評估、加強系統保安修復管理、定期培訓所有員工,並對網絡釣魚及事故管理演習等。
-
鍾麗玲補充,為協助企業提升數據安全,私隱專員公署今日正式推出相關專題網頁、快測及熱線,成為企業能方便、快捷地得到保安提示、最新數據安全消息、私隱條例相關規定等訊息的一站式平台。