全球每日平均發生700萬次網絡攻擊,而本地企業又廣泛應用科技處理數據,一旦受到網絡攻擊,會加劇受黑客入侵和惡意軟件攻擊的風險,有機會造成重大的金錢損失及聲譽損害。上周,商業軟件聯盟(BSA)便聯同香港大學社會科學研究中心(HKUSSRC),發表了一項關於勒索軟件攻擊及雲運算就緒的調查結果,揭示香港企業遭受勒索軟件攻擊的情況、企業如何進行數據備份,以及對雲運算應用的意識水平。
調查分2個階段進行,分別在「WannaCrypt」大型勒索軟件攻擊事件之前進行基線調查,以及於2017年6月29日至7月12日期間,即「WannaCrypt」事件之後進行跟進調查,並再次訪問基線調查中的101家受訪企業。
數據備份不足
調查結果指出,約兩成香港企業一個月少於一次,或從來沒有進行定期數據備份。雖然部分公司於「WannaCrypt」事件之後,更頻繁地執行備份,不少公司仍然採用傳統方案備份數據,未有採用安全而有效的雲運算方案備份。鑑於這些調查結果,BSA呼籲香港企業應更積極考慮應用雲運算技術,進行數據備份以及提升未來的整體網絡保安方案。
商業軟件聯盟亞太區市場合規高級總監Tarun Sawney表示:「調查顯示香港企業缺乏對雲運算技術,如何提升整體網絡保安方案的認識。結果同時揭示本地企業的意識水平,與為防止潛在網絡攻擊而進行的實際行動,出現明顯差距。我們希望藉是次調查,呼籲本地企業積極考慮採取行動,通過適當利用雲運算,來加強數據保護工作。」
一成港企曾受勒索軟件攻擊
基線調查中的10.9%受訪企業,透露曾遭受勒索軟件攻擊;而於跟進調查當中,有4家(3.6%)企業於過去3個月內,曾遭受勒索軟件攻擊。另超過一半的受訪企業,表示擔心其數據會在勒索軟件攻擊時處於風險。
該調查顯示,數據備份扮演著非常重要的角色。大部分受訪企業認為(基線調查:87.9%;跟進調查:93.4%),進行數據備份對於其企業非常重要或重要。而在跟進調查中,受訪企業進行數據備份的頻率亦顯著增加,至每週超過3次。此外,大部分受訪人士(基線調查:85.2%;跟進調查: 93.4%),均具公共雲運算的數據備份服務的意識。而受訪企業使用公共雲運算服務,進行數據備份的最主要原因,是方便及易於共享存取數據,也是愈來愈多企業的一貫做法;至於令其卻步的主要原因,則是基於安全性問題的考慮。
新的歐盟數據保護法明年生效
香港大學社會科學學院副院長(知識交流)暨社會科學研究中心總監及教授John Shone表示:「本地條例一直確保個人資料受到安全保護,免受未經授權或意外的查閱、處理、刪除、喪失,或使用所影響。新的歐盟數據保護法《一般數據保護規則》(General Data Protection Regulation),亦將於2018年5月在歐盟生效,包括對不遵守規例的企業作出更嚴厲制裁(最高罰款額將高達企業全球營業額的4%或2,000萬歐元,以較高者為準),及面對風險時需要負上更大的責任。因此,企業必須採取公司範圍以外的安全備份保安方案,可能包括使用公共雲運算,並需審慎選擇可靠的雲運算服務供應商,提供數據備份服務。」
Sawney則提醒,企業在選擇可靠的雲運算服務供應商時,應考慮供應商對4個重要準則的承諾:私隱保護、安全性、合規性和透明度。他又補充指,在選擇雲運算服務供應商時,企業可以參考國際標準,如ISO 27018、ISO 27017、ISO 27001及其他本地標準,並審視供應商是否符合這些標準。由於網絡攻擊猖獗,及商業用戶難以時刻自行更新保安防備方案防禦攻擊,他相信雲運算服務能為商業用戶,帶來高成本效益而可行的方案。