2023年「香港企業網絡保安準備指數」出爐 揭員工網絡保安意識不足

香港生產力促進局 ‧ 網絡安全(生產力局 ‧ 網絡安全)及香港個人資料私隱專員公署(私隱專員公署)共同公布「香港企業網絡保安準備指數及私隱認知度」調查報告結果,「香港企業網絡保安準備指數」錄得47.0點(最高100點),較去年下挫6.3點,亦是自指數成立以來錄得最大跌幅。中小企(43.6點)及大型企業(62.5點)的指數均錄得跌幅,分別下跌7.1點及4.1點。

「香港企業網絡保安準備指數」由「保安政策風險評估」、「技術控制」、「流程控制」和「建立員工意識」四個範疇組成。今年,「流程控制」(68.1點)繼續於所有分項指數居首,屬「具管理能力」級別。然而,「技術控制」(55.1點)因較少企業進行系統保安修補管理,而且企業所採取的網絡威脅防禦措施亦有所減少而急挫11.2點,「保安政策風險評估」(39.7點)亦由於較少企業進行網絡保安風險評估而下挫8.9點至歷來低點。另外,「建立員工意識」繼續在25點低位停留,繼續是值得關注的範疇。

調查又發現,近四分之三(73%)的受訪企業在過去12個月內曾遇到最少一類網絡安全攻擊,較去年再飆升八個百分點至歷來新高。數字上升主要來自更多中小企受網絡安全攻擊,較去年大幅上升10個百分點。當中,釣魚攻擊繼續是幾乎所有有關企業遇到的最常見的網絡安全攻擊類型(96%)。除網絡釣魚電子郵件(79%)及網絡釣魚電話(35%)等常見主要釣魚攻擊外,調查亦發現網絡釣魚簡訊(34%,+14百分點)及社交媒體釣魚(16%,+6百分點)較去年常見。另外,新興的釣魚攻擊模式,例如使用人工智能(AI)或生成式AI及使用二維碼的釣魚攻擊亦分別錄得9%及8%。

生產力局數碼轉型部總經理陳仲文先生表示:「是次調查結果值得關注。一方面,本年的『香港企業網絡安全準備指數』錄得歷來最大跌幅,主要是由於企業在『網絡保安風險評估』有所鬆懈,進行『系統保安修補管理』及採取『網絡威脅防禦措施』亦有所減少。另外,『建立員工意識』分項指數今年繼續在25點低位停留,反映人員的網絡安全意識有急切改善的需要。另一方面,網絡攻擊的情況日益嚴重,在過去12個月曾受網絡攻擊的企業百分比,較去年再度上升八個百分點至73%的歷來新高,當中超過九成有關企業曾受到釣魚攻擊,而釣魚攻擊的方式亦較以往變得更像真且更多樣化。人類是網絡安全中最薄弱的環節,很多網絡攻擊之所以成功,都是由於人員疏忽而造成。另外,香港電腦保安事故協調中心(HKCERT)的事故報告統計資料顯示,在2023年1月至9月期間,釣魚攻擊的事故報告已佔所有網絡保安事故的一半,可見釣魚攻擊已對網絡保安構成巨大威脅。對此,生產力局強烈建議企業除增加在『網絡保安風險評估』、『系統保安修補管理』及『網絡威脅防禦措施』方面的投放外,亦應該盡快加強員工的網絡安全意識。除了定期為所有員工提供培訓外,亦應定期進行網絡安全演習。企業亦可利用HKCERT最新推出的『網絡釣魚 全城防禦』網上專頁所提供的材料,為員工進行釣魚意識培訓。」

文章來源:香港生產力促進局

Get In Touch