HKIRC 「對新興網絡風險的安全意識」研究
指香港企業網絡安全措施未臻完善 三大網絡安全威脅頓成無形風險
中小企資源有限,新興網絡安全問題不容忽視, 專家獻策化解隱藏風險
香港互聯網註冊管理有限公司 ( 簡稱HKIRC) 今天發表年度企業網絡安全研究結果,揭示新興三大無形網絡安全威 脅,分別為內部員工風險、供應鏈風險及負面SEO 風險,資源有限 的中小企尤須倍加留意。
今天的問卷調查發佈會以「對新興網絡風險的安全意識」為主題, 詳細分析有關研究結果。早前HKIRC 以問卷訪問了本港超過80 0 家不同規模的企業,他們來自各行各業,包括零售、 製造和進出口、住宿和餐飲、培訓和教育、金融服務、專業機構、 資訊科技及非政府組織等,是次研究對象中以香港中小企佔大多數。
HKIRC 行政總裁黃家偉表示:「我們致力推動安全的網絡環境, 過去數年先後針對不同範疇進行研究,深入探討企業網絡安全問題, 務求做到與時並進。隨著數碼轉型的步伐一日千里, 網絡安全事故也愈趨頻繁; 新類型網絡安全危機更在不知不覺中產生,構成無形風險。因此, 今年的問卷調查以香港企業『對新興網絡風險的安全意識』為主題, 讓中小企對症下藥,制定有效策略和推出相關免費支援服務,協助企 業跨越網絡安全挑戰,特別是本地中小企。」
新興三大網絡威脅
內部員工風險
使用第三方服務供應商
負面「搜尋引擎優化」
1. 內部員工風險最高 成新興三大網絡威脅之首
疫情持續加速數碼轉型步伐,各行各業的數碼使用率整體急增63% ,培訓和教育行業的增幅最高,達85% 。然而, 近七成員工坦言自身的網絡安全意識不足,當中培訓和教育、 製造和進出口以及零售行業更面臨最大員工風險漏洞, 情況教人憂慮。
歸根究底,問題癥結在於員工培訓嚴重不足。HKIRC 的研究結果 顯示,81% 企業沒有為員工提供定期網絡安全培訓,零售、 住宿和餐飲及非政府組織等行業更高達近九成, 主要原因為沒有迫切需要及欠缺資源作培訓。整體而言, 儘管企業了解員工可帶來的網絡風險, 惟大部分卻忽略了培訓工作的重要性, 致使內部員工風險成為新興三大網絡威脅的榜首, 當中培訓和教育界所面對的威脅最大,脆弱度達59% 。
2. 使用第三方服務供應商 網絡危機不容忽視
受訪企業中有59% 均有使用第三方服務供應商, 當中有五成更與供應商分享客戶及公司數據。受業務性質使然, 非政府組織等行業、 零售及製造和進出口行業所面對的供應鏈風險較其他行業高。
HKIRC 行政總裁黃家偉提醒大家,要慎防供應鏈的安全漏洞:「 中小企一般欠缺系統開發資源,使用第三方供應商的服務, 無疑是更具成本效益的做法。但千萬要小心供應鏈上黑客滿佈, 一不留神就會被入侵,影響系統的機密性及完整性; 甚至讓用戶錯誤下載惡意程式,造成企業更大損失。」
雖然有逾半數受訪者知悉供應鏈攻擊的風險 ,而企業面對其風險的脆弱度亦是新興三大威脅之中最低(12%) ,但仍有41% 並無對第三方供應商採取積極的保安措施, 住宿和餐飲(50%) 、零售(57%) 及非政府組織(59%) 等 行業尤甚。受訪者普遍認為只要簽訂「不披露協議書」(NDA) ,供應商便有責任確保客戶及公司資料得到妥善保障, 故並無制定其他保護措施。黃家偉建議企業應多管齊下, 從多方面推行防範數據外洩的措施,例如限制供應商的存取權限、 在交換資料時增設密碼保護,以及定期更新供應商提供的軟件等, 以策萬全。
3. 「搜尋引擎優化」的雙面刃
時至今天,大部分企業都利用「搜尋引擎優化」(SEO) 提升網站在關鍵字搜尋結果中的排名,以增加網上曝光率, 創造商機。受訪企業中有六成均重視SEO , 特別是教育界及資訊科技界。但有多少人知道, 網絡黑客經常用盡千方百計破壞企業的SEO 部署?儘管企業認識S EO 的作用及優勢,但 原來有75% 未曾聽聞「負面SEO 攻擊」, 故並無制定相應保安措施應對威脅,削弱企業的防禦能力。
有72% 受訪企業都知道,木馬程式及病毒入侵會導致SEO 排名下 降,但對黑客的其他常用技倆卻感到陌生,包括「暗中篡改Robo ts.txt 檔」或「把被懲罰過的域名指向企業網站」等, 更有黑客會建立大量惡意連結至受害者的網頁,招數層出不窮, 稍不留意就會誤墮陷阱。然而, 單靠防火牆及防毒軟件並不足以識別潛藏網絡威脅。 有半數企業正因為對負面SEO 沒有充分認識, 並無持續監察網站或域名的安全情況,特別是住宿和餐飲、 零售及專業機構,較其他行業容易受到負面SEO 攻擊入侵。
專家 五 大建議 提升網絡安全的最佳策略
隨著數碼使用日趨普及,預料企業面對網絡安全風險亦會相應增加。 然而,研究發現,即使某特定行業( 如金融服務業) 風險比其他行業 高,只要能加強網絡威脅認知,做好保安工作, 便可有效降低企業脆弱度,增加韌性。
根據調查結果,HKIRC 提出以下提升企業網絡安全的最佳策略:
增加定期培訓, 並透過網絡釣魚演習量度和評估員工的合規性和行為。
使用「保安接層加密技術」(Secure Socket Layer ,簡稱SSL) ,以加強保護本身的數據資料,亦有助提升搜尋引擎優化的效果。
定期監察公司網站及網域之外, 建議使用較有公信力網域以減低釣魚網站的風險,增加網絡安全性。
使用免費的『網絡安全員工培訓平台 』(Cybersec Training Hub ),可靈活彈性安排培訓課程, 提高企業員工的網絡安全意識之餘,完成課程更可獲頒電子證書。
透過『網絡安全資訊共享夥伴計劃 』(Cybersec Infohub ),共享有關網絡安全資訊,攜手防禦網絡攻擊, 推動各行各業緊密協作。
與多方協作 共建安全互聯網環境
整體而言,面對新興三大網絡威脅, 金融服務及資訊科技界的保安能力尤佳,而零售業情況最使人憂心。 儘管如此,內部員工風險成為一眾企業面對的最大挑戰。 調查結果顯示,大半數受訪企業均沒有為員工提供適切培訓, 最大原因是近四成企業決策人認為沒有必要, 亦有近三成因欠缺資源而束手無策。
在數碼化的大氛圍下, 香港企業整體對網絡安全威脅的意識雖有所提升, 惟企業必須制定行之有效的政策,由培訓著手從根本做起, 以加強應對網絡威脅的防禦能力。展望未來, 網絡營商環境依然充滿挑戰,網絡安全對企業可持續發展尤為重要。 HKIRC 將致力與業界及商會組織加強合作, 提供更多免費資源及業內交流, 為各界特別是中小企業解答與網絡安全相關的問題並提供適切支援, 助力構建安全的互聯網環境。
發表迴響