2023 年「香港企業網絡保安準備指數」錄得歷來最大跌幅 員工網絡保安意識仍需大幅改善
(香港,2023 年 11 月 14 日)香港個人資料私隱專員公署(私隱專員公署)及香港生產力促進局 ‧ 網絡安全(生產力局 ‧ 網絡安全)今日共同公布「香港企業網絡保安準備指數及私隱認知度」調查報告結果,「香港企業網絡保安準備指數」錄得 47.0 點(最高 100 點),較去年下挫 6.3 點,亦是自指數成立以來錄得最大跌幅。中小企(43.6 點)及大型企業(62.5 點)的指數均錄得跌幅,分別下跌 7.1 點及 4.1 點。
香港企業網絡保安準備指數
「香港企業網絡保安準備指數」由「保安政策風險評估」、「技術控制」、「流程控制」 和「建立員工意識」四個範疇組成。今年,「流程控制」(68.1 點)繼續於所有分項指數居首,屬「具管理能力」1 級別。然而,「技術控制」(55.1 點)因較少企業進行系統保安修補管理,而且企業所採取的網絡威脅防禦措施亦有所減少而急挫11.2點,「保安政策風險評估」(39.7 點)亦由於較少企業進行網絡保安風險評估而下挫 8.9 點至歷來低點。另外,「建立員工意識」繼續在 25 點低位停留,繼續是值得關注的範疇。
按行業而言,金融服務業(64.9 點)及資訊和通訊技術業(63.3 點)繼續並列「具管理能力」級別,當中資訊和通訊技術業更是唯一於本年錄得指數增幅的行業。另一方面,製造、貿易和物流業(48.6,-8.9 點)及零售和旅遊相關行業(33.3,-12.5 點)錄得較大跌幅,而後者更跌至「措施不一致」級別。
調查又發現,近四分之三(73%)的受訪企業在過去 12 個月內曾遇到最少一類網絡安全攻擊,較去年再飆升八個百分點至歷來新高。數字上升主要來自更多中小企受網絡安全攻擊,較去年大幅上升 10 個百分點。當中,釣魚攻擊繼續是幾乎所有有關企業遇到的最常見的網絡安全攻擊類型(96%)。除網絡釣魚電子郵件(79%)及網絡釣魚電話(35%)等常見主要釣魚攻擊外,調查亦發現網絡釣魚簡訊(34%,+14 百分點)及社交媒體釣魚(16%,+6 百分點)較去年常見。另外,新興的釣魚攻擊模式,例如使用人工智能(AI)或生成式 AI 及使用二維碼的釣魚攻擊亦分別錄得 9%及 8%。
生產力局數碼轉型部總經理陳仲文先生表示:「是次調查結果值得關注。一方面,本年的『香港企業網絡安全準備指數』錄得歷來最大跌幅,主要是由於企業在『網絡保安風險評估』有所鬆懈,進行『系統保安修補管理』及採取『網絡威脅防禦措施』亦有所減少。另外,『建立員工意識』分項指數今年繼續在 25 點低位停留,反映人員的網絡安全意識有急切改善的需要。另一方面,網絡攻擊的情況日益嚴重,在過去 12 個月曾受網絡攻擊的企業百分比,較去年再度上升八個百分點至 73%的歷來新高,當中超過九成有關企業曾受到釣魚攻擊,而釣魚攻擊的方式亦較以往變得更像真且更多樣化。人類是網絡安全中最薄弱的環節,很多網絡攻擊之所以成功,都是由於人員疏忽而造成。另外,香港電腦保安事故協調中心(HKCERT)的事故報告統計資料顯示, 在 2023 年 1 月至 9 月期間,釣魚攻擊的事故報告已佔所有網絡保安事故的一半2,可見釣魚攻擊已對網絡保安構成巨大威脅。對此,生產力局強烈建議企業除增加在『網絡保安風險評估』、『系統保安修補管理』及『網絡威脅防禦措施』方面的投放外,亦應該盡快加強員工的網絡安全意識。除了定期為所有員工提供培訓外,亦應定期進行網絡安全演習。企業亦可利用 HKCERT 最新推出的『網絡釣魚 全城防禦』網上專頁 3 所提供的材料,為員工進行釣魚意識培訓。」
今年專題調查探討受訪企業在保護個人資料私隱方面的認知及所採取的措施,以及對香港的個人資料私隱保障的意見。調查結果發現,企業整體認為運用新興科技4 有私隱風險,平均值由2.75分至3.06分(以1分為認為沒有風險,5分為認為極高風險5)。 當中,這些企業認為運用生成式人工智能所涉及的私隱風險最高,達 3.06 分,而 Cookies 和其他線上追踪器(3.00 分)、雲端計算(2.92 分)及物聯網(2.83 分)則緊隨其後。值得注意的是,在正在運用這些科技的企業(37%)當中,只有約一半 (48%)有提供相應內部指引,以應對相關科技所帶來的私隱風險。就使用生成式人工智能而制定相關指引的企業更低至只有四成(41%)。
調查亦發現,整體有 76%受訪企業認為遵守《個人資料(私隱)條例》(《私隱條例》) 「沒有太大困難」,當中更有42%認為「完全沒有困難」,另一方面,「數據處理漸趨複雜」、「缺乏員工知識或教育」及「資源不足」是企業認為遵守《私隱條例》的三大主要挑戰。就香港的個人資料私隱保障水平方面,稍高於一半(51%)的受訪企業持中立態度,而有 18%則認為「充足」或「非常充足」。
整體來說,較多大型企業會推行或採取不同保護私隱及資料保安的措施,例如一半大型企業(51%)已開始或完全實施個人資料私隱管理系統(私隱管理系統),但超過一半中小企(55%)則未有考慮實施。另一方面,近八成大型企業(79%)已實踐不同保護私隱及資料保安的措施,包括制訂處理個人資料的內部政策、於高級管理層會議上討論和肯定個人資料私隱管理系統的重要性、設有個人資料外洩通報機制及向員工提供有關私隱的培訓等。然而,有實踐保護私隱及資料保安的措施的中小企只得 54%。
個人資料私隱專員鍾麗玲女士表示:「保護個人資料私隱是維護網絡安全不可或缺的一部分,私隱專員公署建議企業,不論大小,應採取保護個人資料私隱的措施,例如實施私隱管理系統及制定個人資料外洩應變計劃及通報機制,加強員工培訓及網絡安全意識,以加強數據治理及數據安全。」
調查由私隱專員公署委託生產力局 ‧ 網絡安全獨立進行,旨在評估香港企業在應對網絡保安威脅方面是否準備就緒,以及公眾對私隱相關議題的意識。最新的調查在 2023 年 9 月透過電話訪問了 378 間企業,涵蓋六個行業6 。
下載「香港企業網絡保安準備指數及私隱認知度」調查報告:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/surveys/files/PrivacyAwarenessSurvey2023.pdf
為了讓企業可一站式取得有關資料保安的資訊,並協助他們提升保護數據的能力及遵從《私隱條例》的規定,私隱專員公署今日在公署的網站上推出「數據安全」專題網頁及「數據安全快測」,並設立「數據安全」熱線 2110 1155。
「數據安全」專題網頁讓企業可以便捷地取得與資料保安有關的資料,包括保安提示、最新數據安全消息、資料外洩事故通報的資料、《私隱條例》的相關規定、案例及教育資訊等。另外,「數據安全快測」是一個自我評估工具,讓企業就其資訊及通訊科技系統的資料保安措施是否足夠進行快捷方便的自我評估。
瀏覽「數據安全」專題網頁:
https://www.pcpd.org.hk/tc_chi/data_security/index.html
進行「數據安全快測」:
https://www.pcpd.org.hk/Toolkit/tc/
釣魚攻擊已成爲普羅大眾最常遭遇的網絡攻擊之一,而且情況日益嚴重,HKCERT 最新推出的「網絡釣魚 全城防禦」網上專頁,提供「一站式」防釣魚資訊,向普羅大眾提供最新資訊及個案分析,提高公眾對釣魚攻擊的認知。
瀏覽「網絡釣魚 全城防禦」網上專頁:
https://www.hkcert.org/tc/publications/all-out-anti-phishing
為進一步加強員工網絡安全意識,並協助他們了解網絡釣魚攻擊的不同形式及技巧, 生產力局 ‧ 網絡安全推出「網絡釣魚防禦服務」。服務除了包括為企業設計網絡釣魚題材/場景,及進行網絡釣魚演練外,亦會就演習結果進行分析並提供建議及培訓。 服務模擬最新釣魚攻擊進行演練,讓企業更清楚了解釣魚攻擊的最新發展及攻擊技巧。
瀏覽生產力局 ‧ 網絡安全「網絡釣魚防禦服務」的服務詳情:
https://www.hkpc.org/zh-HK/our-services/digital-transformation/cyber-security/phishing-defence-services
1 指數級別分為五級,排名由高至低依次為「具前瞻能力」(80-100)、「具管理能力」(60-79)、「具基本措施」(40-59)、「措施不一致」(20-39)及「缺乏意識」(0-19)
2 資料來源:HKCERT
3「網絡釣魚 全城防禦」網上專頁:https://www.hkcert.org/tc/publications/all-out-anti-phishing
4 調查涵蓋的新興科技包括「生成式人工智能」、「數據分析及營運流程自動化」、「物聯網」、「區塊鏈相關技術」、「雲端計算」及「Cookies 和其他線上追踪器」
5 企業預計運用相關科技所涉及的私隱風險以 1 至 5 分顯示,風險程度由低至高依次為「1-沒有風險」、「2-低風險」、「3-中度風險」、「4-高風險」及「5-極高風險」
6 調查所涵蓋的六個行業包括「金融服務」、「零售和旅遊相關」、「專業服務」、「資訊和通訊技術」、「製造、貿易和物流」及「非牟利機構、學校和其他」
- 完 -
生產力局數碼轉型部總經理陳仲文指出,「香港企業網絡保安準備指數」錄得47.0點,較去年下挫6.3點,是自指數成立以來錄得最大跌幅。
私隱專員鍾麗玲介紹在私隱專員公署的網站上推出的「數據安全」專題網頁及「數據安全快測」,並設立「數據安全」熱線2110 1155。
私隱專員鍾麗玲(左)及生產力局數碼轉型部總經理陳仲文(右)共同公布「香港企業網絡保安準備指數及私隱認知度」調查報告結果。
分享至