香港個人資料私隱專員公署與香港生產力促進局•網絡安全今日發布「香港企業網絡保安準備指數及私隱認知度」調查報告,顯示 2023年「香港企業網絡保安準備指數」下跌至47.0分(滿分100分),創下有紀錄以來最大跌幅,較去年下跌6.3分。中小企業和大型企業均出現跌幅,分別下跌7.1分及4.1分。
該指數由四個範疇組成:「保安政策風險評估」、「技術控制」、「流程控制」和「建立員工意識」。今年的調查顯示,「流程控制」得分最高,達68.1分,位於「具管理能力」級別。然而,「技術控制」急跌11.2分至55.1分,主因是較少企業進行系統保安修補管理及網絡威脅防禦措施減少。「保安政策風險評估」亦下跌8.9分至39.7分,創下歷史新低。「建立員工意識」分項指數持續低迷,停留在25分,顯示員工網絡保安意識需要大幅提升。
按行業劃分,金融服務業(64.9分)及資訊和通訊技術業(63.3分)繼續位於「具管理能力」級別。而製造、貿易和物流業(48.6分,下跌8.9分)及零售和旅遊相關行業(33.3分,下跌12.5分)則錄得較大跌幅,後者甚至跌至「措施不一致」級別。
73%企業至少受一類網絡安全攻擊
調查還發現,近四分之三(73%)的受訪企業在過去12個月內遭遇至少一類網絡安全攻擊,比去年上升8個百分點,創歷史新高。其中,釣魚攻擊是最常見的攻擊類型,影響了96%的企業。個人資料私隱專員鍾麗玲女士強調,保護個人資料私隱是維護網絡安全的重要一環,企業應採取相應措施,強化員工培訓和網絡安全意識。鍾麗玲指,在今年首 10 個月,個人資料私隱專員接獲 119宗私隱外洩通報,公營機構佔3成、 私營機構佔 7 成,公署已建議政府加強罰則,以確保企業妥善保護個人私隱。
專家籲長時間保持「零信任」
生產力局數碼轉型部總經理陳仲文先生強調,企業應增加在「網絡保安風險評估」、「系統保安修補管理」及「網絡威勢防禦措施」方面的投入,並加強員工網絡安全意識。陳仲文建議,除了定期為員工提供培訓,還應定期進行網絡安全演習,並應長時間保持「零信任」,例如收到電郵後,以另一方式聯絡對方再作確認。
私隱專員公署亦同時推出「數據安全」專題網頁和「數據安全快測」工具,幫助企業提升資料保安能力;HKCERT則推出「網絡釣魚全城防禦」網頁,提供防範釣魚攻擊的資訊。
Source:ezone.hk