提到網絡攻擊,很多人和中小企仍然會覺得自己不是甚麼大人物大企業,防護措施又已經足夠,又或者是被攻擊也不會有甚麼損失,這種觀念實在大錯特錯。負責管理.hk域名的香港互聯網註冊管理有限公司(HKIRC),同時也在維持香港互聯網環境的穩定和安全,以供電子商貿穩步發展。該公司歷年來協助過很多本港企業,對他們所面對的網絡安全威脅有深刻體會。
攻擊以獲利為目標
該公司行政總裁黃家偉指出,近年來網絡攻擊的性質發生了根本變化:發動攻擊的人不再只是為了炫耀或者惡作劇,而是以金錢利益為目標,對受害者可造成更大損害。這些攻擊的種類包括網絡釣魚、勒索和商業電郵詐騙:犯罪者可能會把受害者的機密或私隱資料加密鎖死然後勒索金錢,又或者是把數據轉售予其他犯罪份子,假冒身份騙取金錢的個案也不罕見。有時候,即使受害者願意付款解決,但那些資料也可能已經被複製千百萬份在網上任意散播,造成的破壞可能極之深遠。
網絡裝置受攻擊可能性增
值得注意的是,這些惡意程式或犯罪者會隨意在網上掃瞄漏洞,然後發動攻擊。不論你是億萬巨企或者升斗市民,同樣有機會「中招」。黃家偉表示,現在能上網的智能設備如電視機極之普及,代表家庭和企業被攻擊的機會更多。「試想想,如果你家或者公司會議室的電視攝錄鏡頭不知不覺間啟動,生活和開會情況被人一覽無遺,你會覺得無所謂嗎?」
香港的中小企數目佔了整體企業的九成多以上,最近發表的資訊保安調查報告都會強調大量中小企曾經受到網絡攻擊。黃家偉認為,雖然這個現象部份是由於中小企的基數大,但中小企的確要改變自己較大型企業安全的錯誤認知。
培訓和政策要與時並進
而其實企業規模不論大小,都要從網絡保安的思維和實際措施著手,建立堅固防線。黃家偉有以下建議:
1.企業由高層到基層人員,都應該定期接受網絡保安的培訓,時刻保持警愓;
2.應用軟件、保安軟件、防火牆和連上網絡的設備都要常常更新,以堵塞漏洞;
3.網絡保安政策要與時並進,以對應實際營運情況;
4.有妥善的備份措施,即使受到攻擊也可以把損失減到最低,盡快恢復正常運作。
舉例來說,任何企業僱員都不應該按下可疑電郵中的超連結或者下載不明來歷的程式;企業如果容許僱員攜帶自己的電子設備上班,就要有清晰的BYOD(Bring Your Own Device)保安政策作對應,確保機密資料不會因這些設備洩漏,也不會有惡意程式經這些設備入侵企業網絡。黃家偉提到,英國有醫院的內部醫療系統雖然不連接外部互聯網,但卻由於內聯網的其他上網電腦被植入木馬程式而受攻擊,更糟的是這些系統使用老舊的操作系統而對攻擊完全沒有抵抗力,結果造成長時間停機,明顯影響醫療服務。保安措施與時並進的重要性,在此可見一斑。
雲端平台可助資源不足企業
由於中小企的資源通常不足,黃家偉認同要經常維持高水平的網絡保安是有一定難度。「中小企可以把應用系統轉移到可靠的雲端平台。這些平台有充裕的資源和專業人員來保護客戶的資料,他們也有服務承諾保障企業的營運受到最少干擾。」另一方面,市場中也有以雲端方式提供的保安方案,例如數據進出要先經過這些供應商的掃瞄。對缺乏專門人手處理保安事宜的企業而言,雲端系統是一個很值得考慮的選擇。
HKIRC提供多方面協助
黃家偉強調,預防的確勝於治療。HKIRC近年與香港政府資訊科技總監辦公室(OGCIO)、應用科技研究院(ASTRI)、生產力促進局(HKPC)、香港電腦保安事故協調中心(HKCERT)等機構以及 IT 業界積極合作,提高網絡安全意識和向公眾及企業提供協助。HKIRC為.hk的中小企用戶提供免費網站掃描服務以找出保安漏洞,並定期舉辦網絡保安研討會提高網絡安全意識。HKIRC亦進行大數據分析透視.hk的安全狀況。他特別提到,政府去年推出了一個跨行業網絡安全協作平台(http://www.cybersechub.hk),可讓企業互相通報網絡威脅資訊,共同協力阻隔網絡攻擊。中小企也可以參加政府的「科技券計劃」,該計劃可提供高達40萬港元的資助,以供提升網絡安全之用。