港企疫境網絡保安倒退 半數曾受襲 釣魚電郵佔83%
原文刊於信報財經新聞「StartupBeat創科鬥室」
何思聰(右)表示,無憑證特權存取料將成為未來趨勢;旁為黎少斌。(生產力局圖片)
新冠肺炎肆虐,本港不少企業早前推行社交距離措施,安排員工留家工作(Work from home)避疫,在遠程辦公時,由於須連接公司網絡,致使黑客有機可乘。
香港生產力促進局昨天公布2020年「SSH香港企業網絡保安準備指數」調查結果,綜合指數為46.9,較去年微跌2.4,逾半數受訪企業在過去一年曾遭受外部網絡攻擊,反映港企應對當前艱難的營商環境時,網絡保安被放在次要位置。
調查於今年3月進行,訪問了315間本港大型及中小企業,旨在評估港企在應對網絡保安威脅時是否已準備就緒。綜合指數得分由保安風險評估、技術控制、流程控制及人員意識培訓四大範疇組成,最新的調查顯示,四大分類指數均向下。
籲善用政府資助升級
若以行業分類,金融服務業(62.9)表現最佳,達至「管理」級別。調查報告指出,在過去12個月,56%受訪企業曾遭受外部網絡攻擊,包括釣魚電郵(83%)、勒索軟件(41%)及假扮高層的電郵詐騙(26%),這些攻擊是以金錢利益為主。
調查另探討「特權存取」管理,指企業內部員工擁有較高權限,以訪問資訊系統或網絡,甚至更改內部紀錄。然而調查發現,有22%企業以紙件副本儲存有關憑證,16%以電子表格儲存;只有三分一企業在特權存取中使用雙重或多重身份驗證,反映保安意識有待加強。
港企應對當前艱難的營商環境,未必將資源投放在網絡保安上。(信報資料圖片)
生產力局首席數碼總監黎少斌表示,數碼轉型是不可逆轉的趨勢,企業對網絡保安不容半點鬆懈。他建議業界應善用政府「遙距營商計劃」及「科技券計劃」等,後者資助上限60萬港元,採用市場上先進的保安方案;另可享用香港互聯網註冊管理有限公司(HKIRC)免費網站漏洞掃描服務,評估網站保安並作出修正。
全球首季洩資料價值3億
談及全球未來資訊安全發展趨勢,SSH Communications Security亞太區副總裁何思聰表示,自新冠肺炎疫情爆發以來,全球網絡釣魚攻擊急增6倍;單在今年第一季,全球已有逾4000萬美元(3.12億港元)價值的資料洩漏。
不少黑客以疫情相關的釣魚電郵攻擊,假借政府或公司名義,企圖竊取用戶個人資料,例如密碼等憑證,然後於網上出售。有關資料在網上有價有市,以低價買入大量個人資料,通過網上壓力測試軟件,測試密碼的真確性後,再把資訊重新包裝,即可再次轉售。
何思聰提到,不少用戶同一時間動輒使用逾30個軟件,其密碼組合雖然複雜,惟重複使用增加洩漏風險。他預料,無憑證特權存取為未來下一趨勢,通過一次性派發特權以完成工作,既能提高安全性,亦可避免保存憑證帶來的風險。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
