香港生產力促進局發表的《SSH香港企業網絡保安準備指數2019》調查報告,發現本港企業的網絡保安準備程度持續改善,其中以技術控制領域的表現最為理想,反映本港企業願意投放更多資源應對網絡攻擊。但報告同時指出,部分企業使用的保護措施技術較為過時,不足以應付日新月異的網絡保安問題。報告建議企業可進一步加強保安管理、員工意識及主動性方面的表現,藉此應付網絡保安的新威脅。
損失金額倍增證問題嚴重
談及本港企業所面對的網絡安全風險時,香港生產力促進局首席數碼總監黎少斌透露,根據上述調查報告的結果,顯示本港企業在過去一年遭受的網絡保安攻擊顯著上升,當中41%的受訪者表示曾受到外部攻擊,而2018年只有26%。當中以釣魚電郵(77%)、勒索軟件(42%),以及其他惡意軟件攻擊(22%)最為常見。他相信,有關數字上升與部分黑客販賣盜取得來的電郵帳戶有關。
根據香港警方統計,2019年上半年的電郵詐騙案共有401宗,與去年相若,惟金錢損失卻高達11.3億港元,較2018年同期增加48%,反映問題嚴重。「在勒索軟件以外,現時的惡意軟件亦不斷更新。」黎少斌說,此類軟件可以在電腦潛伏一段長時間,並在互聯網擴散,滲透至網絡深層,或在使用者不知情下收集敏感資料,並由黑客放到地下市場販賣圖利。
勿為便利忽視基本保安
要有效提升網絡安全成效,黎少斌直言關鍵在於使用者的意識和認知,尤其是對第三方保安風險的關注。「調查顯示,63%受訪者便表示不知道公司如何管理給第三方的『特權存取』。」他建議,企業可透過採用雙重認證、確保配置安全、修補保安漏洞等措施,在流程和技術層面上減少系統受到網絡攻擊的機會。
黎少斌認為,企業亦應盡力提高員工的網絡安全意識,避免為方便而給予員工過多的系統權限,並小心評估合作夥伴和服務供應商的網絡保安風險。他提醒,商業市場縱然爭分奪秒,但企業在開發新服務和技術時,不應為追趕市場周期和便利等因素而忽視基本的資訊保安,應採用「從設計做起」的保安原則。
人才供不應求
要提高員工的網絡安全意識,除靠管理層推動外,由專責人員把關亦有助企業降低風險。黎少斌透露,市場對網絡安全專才的需求甚殷,單是亞太區便有260萬個有關網絡保安的空缺,所以目前的人力供應未能滿足市場需求。
黎少斌表示,與網絡安全相關的工種大致可分為三類,包括(1)負責日常網絡保安操作的管理員和保安事故回應的前綫人員;(2)協助企業設計制定和實現防禦策略、標準及政策的資訊保安顧問;(3)就保安措施的執行情況進行評估和審計的人員。
他續指,一般而言從事網絡安全的人士須取得電腦科學或相關學科的學士或碩士學位,以及資訊保安證書。而且他們亦須在保安及風險管理、網絡保安/架構、軟件開發保安或資訊科技保安等相關範疇,以及在互聯網及網絡保安方面具備一定知識。
持續增值 應對挑戰
隨着本港在金融科技和電子支付方面等發展不斷加快,而物聯網、人工智能及大數據等科技亦日趨普及,黎少斌預期,市場對相關人才的需求將愈來愈大,為他們帶來可觀的發展前景。他預計,配合智慧城市和再工業化發展,加上5G服務正式在本地大規模應用,香港未來數年將會大量採用物聯網感應器和裝置,因此需要更多的網絡保安專家參與其中。
黎少斌重申,本港需要大量網絡保安人才為相關系統加強防禦,以抵抗網絡攻擊。惟他提醒,面對科技急速發展,相關人才亦須持續在不同範疇如雲計算保安、滲透測試、威脅情報分析和取證等自我增值,以迎合市場的需要。
原刊於香港中華總商會月刊《商薈》,本社獲授權轉載。