保安管理以及員工意識尤為薄弱
香港生產力促進局公布了新一屆「SSH香港企業網絡保安準備指數2019」調查結果,顯示今年綜合企業網絡保安準備指數為49.3點(最高為100),較去年的首次調查微升3.7點,反映本港企業雖然已投放更多資源應對網絡攻擊以確保業務持續運作,惟在保安管理、員工意識和主動性方面可以進一步加強,以應付網絡保安新威脅。
綜合指數由「保安風險評估」、「技術控制」、「流程控制」和「員工意識」四個範疇組成;是次調查發現,僅「技術控制」達到較理想的保安準備指數門檻,由去年36.9點大幅攀升26.6點至今年的63.4點;其餘三項皆錄得下跌,當中「員工意識」(29.5點)跌幅最大,甚至低於40點的可接受門檻。生產力局專家認為企業人員或因去年並未如2017年般發生大規模網絡攻擊,導致意識有所鬆懈,故此未及提升公司網絡安全以加強保障。按行業而言,金融服務業的綜合企業網絡保安準備指數最高(66點),零售/旅遊相關行業(44點)和製造或貿易或物流(45.8點)得分偏低,排名與去年一樣。
此外,企業在過去12個月曾遭受網絡保安攻擊的升幅顯著,四成一受訪者表示受到外部攻擊,去年則只有兩成六;當中以釣魚電郵(77%)、勒索軟件 (42%)和假扮高層的電郵詐騙(35%)為最常見的三種攻擊。生產力局指出,去年部分黑客選擇販賣盜取得來的電郵賬戶,以致相關網絡攻擊大幅上升。
今次調查亦探討了企業內部和第三方存取管理的情況,63%受訪者表示不知道公司怎樣管理給第三方的「特權存取」。「特權存取」是指機構內部人員或第三方合作夥伴擁有的特許權力,能在該機構的資訊科技系統或網絡自由進出,執行關鍵的資訊科技工作。約三成受訪者使用有「特權存取」的共享賬戶,但其中有55% 基於信任用戶,未有加設額外措施,保障賬戶安全。生產力局專家認為企業普遍忽略第三方的網絡保安風險。另一方面,四成受訪公司計劃於未來12個月加強網絡保安,連續兩年欲採取的首三項措施為「系統及網絡保安」、「端點保護」和「網絡保安培訓」。
生產力局首席數碼總監黎少斌表示:「縱使企業需要面對越來越猖獗和複雜的網絡攻擊,但調查卻發現它們在保安準備方面跟理想水平仍有一大段距離,尤其是員工意識。針對這情況,生產力局銳意提升本地業界的網絡安全,除透過屬下的『香港電腦保安事故協調中心』(HKCERT)舉辦相關會議、工作坊和專業培訓提升企業的保安風險認知和應變能力外,還提供針對『工業4.0』和『企業4.0』的網絡安全顧問服務,協助進行數碼轉型中的企業更有效地應對網絡保安威脅。」
他建議企業可從流程、技術和員工三方面著手改善,包括加強管理第三方網絡保安風險,制定政策或合同條款以規管第三方合作夥伴,採取適當網絡保安措施,並嚴格控制其存取權,甚至取締「特權存取」的共享賬戶;同時部署較高階、能自動檢測網絡威脅的技術,與業內同行協作互相分享網絡威脅情報,建立聯合防禦,並培訓所有員工和進行定期演習,提高網絡安全意識,確保時刻保持警惕應對變化不斷的網絡威脅。
調查由生產力局獨立進行、HKCERT支持,並由企業網絡保安方案供應商SSH Communications Security贊助,旨在評估香港企業在應對網絡保安威脅方面是否準備就緒。調查於2019年3月進行,透過電話訪問六個行業的350間企業。
「SSH香港企業網絡保安準備指數」調查2019完整報告可從以下網址下載 :
At this moment I am going to do my breakfast, afterward having my
breakfast coming again to read other news. https://www.findermt.com