【加緊防備】香港資安展望 流動支付及供應鏈料攻擊料大增

生產力局（HKPC）公布 2021 年資訊安全展望報告，預料在疫情影響下，針對新科技如 5G、物聯網（IoT）及人工智能會大幅度增加；而因應流動支付愈趨普及，加上虛擬銀行及虛擬金融業的發展，生產力局呼籲，業界應多留意資安資訊，加強保安，用戶也要注意密碼設定和保安措施。該局亦指出 ，供應鏈攻擊會升級，單在去年便增加了 430%，企業應多加留神。

在數碼轉型的新常態下，新技術如 5G、物聯網及人工智能的應用等，可能會導致更多系統或數據流量暴露在不可信的網絡中，以物聯網為例，因為密碼強度太低、通訊未有作加密等，存在保安漏洞，被入侵的風險相應會提高，生產力局建議，應深入了解這類新技術牽涉的保安議題，亦應定期進行網絡保安檢查，評估網絡和系統的保安，及持續監察接觸到互聯網的資訊科技配置。

促企業制定WFH保安指引 提升員工保安意識

生產力局數碼轉型部總經理兼 HKCERT 負責人陳仲文指，企業必須為新常態和新技術制定網絡保安策略，在管理計劃中應包括第三方風險、保護任何暴露於互聯網的系統、採用加強驗證並進行網絡保安檢查和監察；另外，企業需要提高員工的網絡保安意識，以應對攻擊。就供應鏈攻擊繞過企業的保安系統的情況，生產力局解釋，攻擊者會利用企業對合作夥伴的信任，來避開保安防禦，通常使用合法軟件發佈機制，將木馬化的軟件組件發布至 「下游」，令企業用家不慎中招。

Work From Home（WFH）工作安排亦為企業保安系統帶來衝擊，有黑客伺機入侵網絡會議，發放不雅內容，又會趁機攻擊缺乏保護的遙距工作端點，生產力局建議企業制訂新常態下的網絡保安策略，提供在家工作安排的保安指南，保護遙距存取設施和端點，並提高員工保安意識，提防釣魚電郵來襲；定期進行網絡保安檢查，評估網絡和系統的保安；持續監察接觸到互聯網的資訊科技配置。企業可以參考該局製作的在家工作的六大資訊保安建議（https://www.hkcert.org/tc/security-guideline/six-security-tips-for-home-office）及評估遠端存取服務保安指南（https://www.hkcert.org/tc/security-guideline/assessing-the-security-of-remote-access-services-guideline）。

使用虛擬銀行 宜設置單獨使用高強度密碼

而在疫情期間能有效減少人與人之間接觸的流動支付，也存在保安風險，陳仲文提到，有流動支付用家將付款 URL 分享予第三者，造成金錢損失；近期有不少虛擬銀行投入服務，估計會成為攻擊目標，或會面對系統負荷超載、DDoS 攻擊和數據洩漏的攻擊，呼籲流動金融業應注意保安措拖要做足。生產力局 HKCERT 資訊保安顧問羅恩諾亦提醒，使用虛擬銀行服務時，市民宜在開戶時設置高強度密碼，切勿使用與其他帳戶相同的密碼，因為不少黑客攻擊都是憑同一組密碼作攻擊嘗試；他又建議，市民應採納網絡保安相關措施，並留意登入紀錄會否有不尋常之處。

生產力局轄下香港電腦保安事故協調中心 (HKCERT) 在 2020 年共處理 8,346 宗網絡保安事故， 較 2019 年下跌 12%。由於網絡犯罪分子利用疫情增加對線上活動的攻擊，網絡釣魚 (3,483 宗，佔 42%) 較去年上升 35%，殭屍網絡(4,154 宗，佔 50%) 仍然是最多保安事故來源，較去年下跌 16%，惡意軟件則有181 宗（佔 2%)大幅下跌 85%。惡意軟件錄得大幅下跌的主因是其攻擊目標，由個人轉向企業用戶。