【獨媒報導】數碼港及消委會等多個公營機構相繼被黑客入侵,發生大規模個人資訊外洩。個人資料私隱專員公署及生產力促進局的調查發現,七成受訪企業過去一年最少遭受一次網絡攻擊,被攻擊手法不乏二維碼、AI生成釣魚等全新手法。去年公署收到119宗資料外洩事故通報,公營機構佔三成。至於康文署新訂場系統SmartPLAY被揭發洩露市民中文全名,私隱專員鍾麗玲指昨晚得悉事件,暫時未收到任何查詢或投訴,有待部門調查「唔想咁快幫佢定性」。
網絡保安指數歷來最大跌幅
個人資料私隱專員公署及生產力促進局今日(14日)公布「香港企業網絡保安準備指數及私隱認知度」調查報告,調查在今年9月電話訪問了309間中小企和69間大企業,發現「香港企業網絡保安準備指數」較去年下跌6.3點至47.0點,是自指數成立以來錄得最大跌幅。在6個行業中,「零售和旅遊相關」和「製造、貿易和物流」錄得較大跌幅,分別跌了12.5點和8.9點。
而指數四個分項中,「技術控制」、「保安政策及風險評估」和「流程管制」均錄得跌幅,分別下跌11.2點、8.9點和5.0點;「人員意識」繼續是所有分數中最低一項。
AI技術成新趨勢 呼籲員工對過數要求「零信任」
調查亦顯示過去1年,有73%企業遇到網絡安全攻擊,而當中有72%來自外部攻擊,兩項數字達歷年新高。有96%企業指他們受到釣魚攻擊,當中電郵、電話和簡訊等傳統方式之外,更有新式的攻擊方法,如假冒其他機構的網絡廣告、人工智能及二維碼。
生產力局數碼轉型部總經理陳仲文解釋指,不少黑客利用人工智能模擬上司或同事的外表、聲線等以進行詐騙。他呼籲僱員應採取「零信任」原則,若有相熟人士要你匯款至其他戶口,僱員需再三求證。
生產力局數碼轉型部總經理陳仲文
企業缺IT管理人手
陳仲文解釋造成指數下跌,是因為企業減少「網絡安全風險評估」和「防禦網絡威脅所採取的技術措施」;以及有44%企業表示公司欠缺IT支援及管理人手。他建議企業應定期邀請第三方機構進行風險評估;增加應對網絡風險的威脅;以及增加員工培訓,定期進行演習。
鍾麗玲稱考慮「強制通報」 增行政罰款能力
今年九月數碼港和消委會相繼被黑客入侵,當被問及香港今年網絡安全情況時,個人資料私隱專員鍾麗玲指,公署於今年首十月收到119宗資料外洩事故通報,她表示當中三成來自公營機構,七成來自私營機構。她指公營機構「曝光率比較高」,所以大家較關注公營機構資料外洩問題,但她強調:「唔係淨係公營機構有呢個風險,私營機構都一樣有呢個風險」。
她表示私隱專員公署已與多個部門緊密合作,初步考慮引入「強制通報」機制、加強公署行政罰款能力以及調高罰款,以增加阻嚇力。
鍾麗玲
鍾麗玲稱未想太快就康文署事件定性
近日康文署最新的租場系統「SmartPLAY康體通」被指資料外洩,可以搜尋到其他用戶的真實中文姓名。鍾麗玲回應指「我都係尋晚10點幾先知道」,她指在凌晨12時43分收到相關部門電郵,通知如何跟進事件,而截至今早未收到任何投訴。她表示相關部門主動配合調查,暫時需時研究事件,並稱「唔想咁快幫佢定性(為資料外洩)」。
