港企網絡保安員工意識大倒退

2019-04-11

黎少斌（中）建議企業從流程、技術和員工三方面着手改善網絡保安。

跌出可接受門檻綜合指數4分項3下跌

香港文匯報訊（記者蔡競文）互聯網已經成為現代企業不可或缺的工具，網絡保安日益重要。生產力促進局昨日公佈的一項調查顯示，今年綜合企業網絡保安準備指數為49.3點（最高100），較去年的首次調查微升3.7點，反映本港企業雖然已投放更多資源應對網絡攻擊以確保業務持續運作，惟在保安管理、員工意識和主動性方面可以進一步加強，以應付網絡保安新威脅。

生產力局昨公佈一份「SSH香港企業網絡保安準備指數2019」調查，綜合指數由「保安風險評估」、「技術控制」、「流程控制」和「員工意識」四個範疇組成；是次調查發現，僅「技術控制」達到較理想的保安準備指數門檻，由去年36.9點大幅攀升26.6點至今年的63.5點；其餘三項皆錄得下跌，當中「員工意識」（29.5點）跌幅最大，甚至低於40點的可接受門檻。

網絡保安準備金融業指數高

生產力局專家認為企業人員或因去年並未如2017年般發生大規模網絡攻擊，導致安全意識有所鬆懈，故此未及提升公司網絡安全以加強保障。按行業而言，金融服務業的綜合企業網絡保安準備指數最高（66點），零售/旅遊相關行業（44點）和製造/貿易/物流（45.8點）得分偏低，排名與去年一樣。

「特權存取」或成「無掩雞籠」

此外，企業在過去12個月曾遭受網絡保安攻擊的升幅顯著，四成一受訪者表示受到外部攻擊，去年則只有兩成六；當中以釣魚電郵(77%)、勒索軟件(42%)和假扮高層的電郵詐騙(35%)為最常見的三種攻擊。生產力局指出，去年部分黑客選擇販賣盜取得來的電郵賬戶，以致相關網絡攻擊大幅上升。

今次調查亦探討了企業內部和第三方存取管理的情況，63%受訪者表示不知道公司怎樣管理給第三方的「特權存取」。「特權存取」是指機構內部人員或第三方合作夥伴擁有的特許權力，能在該機構的資訊科技系統或網絡自由進出，執行關鍵的資訊科技工作。約三成受訪者使用有「特權存取」的共享賬戶，但其中有55%基於信任用戶，未有加設額外措施，保障賬戶安全。

產力局籲「三管齊下」促改善

生產力局首席數碼總監黎少斌建議，企業可從流程、技術和員工三方面着手改善，包括加強管理第三方網絡保安風險，制訂政策或合同條款以規管第三方合作夥伴，採取適當網絡保安措施，並嚴格控制其存取權，甚至取締「特權存取」的共享賬戶；同時部署較高階、能自動檢測網絡威脅的技術，與業內同行協作互享網絡威脅情報，建立聯合防禦，並培訓所有員工和進行定期演習，提高網絡安全意識，確保時刻保持警惕應對變化不斷的網絡威脅。

調查由生產力局獨立進行、HKCERT支持，並由企業網絡保安方案供應商SSHCommunications Security贊助，旨在評估香港企業在應對網絡保安威脅方面是否準備就緒。調查於2019年3月進行，透過電話訪問六個行業的350間企業。

讀文匯報PDF版面

港企網絡保安 員工意識大倒退

港企網絡保安員工意識大倒退