有網絡安全專家指出,亞太區企業普遍存在「假韌性」(Resilience Illusion)現象,雖然 90% 企業領袖認為自己已準備好應對網絡攻擊,但只有 69% 認為可達到復原時間目標(RTO)。一旦在事故出現時復原失敗,影響將會透過跨境業務網絡進一步放大。
不足三成企業 能完全復原受影響數據
Veeam Software 產品策略副總裁 Rick Vanover 在外國媒體上撰文,指出亞太經濟合作組織(APEC)中的 21 個成員,為全球貢獻了約 60% GDP 及 47% 貿易總量,特別是數碼服務的貿易量在近十年內得以倍升,可說是全球經濟發展的重要命脈,因而亞太區成為全球第二大網絡攻擊熱點,佔全球網絡攻擊事件的 27%。他引用最近網絡安全公司發布的報告,指出區內在眾多遭受勒索軟件攻擊的企業中,只有 28% 企業能完全復原受影響數據,顯示企業的復原能力與自信程度存在明顯落差。
事實上,人工智能(AI)的普及提升了問題的嚴重性,因為企業在採用 AI 之餘,亦同時擴大了攻擊面及復原難度。Rick Vanover 引用 Thales《數據威脅報告 2026》,顯示亞太區近 60% 機構曾遭受 Deepfake 攻擊,50% 曾因 AI 生成的錯誤資訊而蒙受聲譽損失,當中以印度所佔比例最高,兩者分別高達 65% 及 55%,屬區內之冠。
另一方面,有 80% 企業領袖相信他們能夠在未來兩年內擴大 AI 規模,但卻有 68% 企業領袖坦承缺乏向持份者提出審計證據的把握,突顯他們其實未能真正掌握 AI 數據的透明度。
亞太區國家加強監管網絡安全
Rick Vanover 認為助長這情況出現的原因,在於監管步伐追不上 AI 科技發展速度,而區內監管機構已相繼在今年加大監管力度,例如日本政府收緊數據處理規則並提高罰則;韓國政府首度引入 CEO 個人問責制;新加坡《網絡安全法》容許當局徵收最高營業額 10% 或 100 萬新加坡元的民事罰款等。監管機構不再滿足於口頭承諾,轉而向企業或機構要求更實質的證據,例如企業即使成功復原基建,但如果數據還原不完整,亦會視之為失敗。
另外,電信業、金融服務及醫療保健,是亞太區最受黑客集團關注的行業,當中醫療保健界別因對停運的容忍度極低,而且高度著重數據的可信性。一旦數據遭受入侵或篡改,都可能直接演變成長時間停運。例如早前九龍東醫院聯網便曾發生 5.6 萬病人資料外洩事件,事後醫管局須即時暫停所有承辦商存取病人資料的權限。
企業在網絡安全及數據恢復上應由「紙上談兵」轉向「可監可證」,除了要有實證支持評估報告,亦要能夠滿足各國政府愈來愈嚴謹的安全要求。另外,企業須從「安全輸出」思維轉向「安全運作」思維,尤其在 AI 代理應用日漸普及下,企業更須掌握數據來源、存取完整性及標籤數據的可信度,因為有調查指出,只有持續增加網絡安全預算的企業,在事故後能夠完全復原數據及業務的比率達 40%,遠高於預算持平或削減企業的 16%。
