【中小企之苦】四成小型企業無專責IT員工    專家：應視網絡安全為可靠投資

疫情下大大改變香港企業營運模式，有調查指六成企業在疫情期間，意識到加強網絡安全的重要性，並將於來年增加開支預算應對網絡威脅。惟不少中小企礙於財政預算所限及人手短缺，以致在制定網絡安全策略上困難重重，甚至有四成小型企業無專責資訊科技安全的員工。有專家建議中小企應改變固有概念，將網絡安全視為業務投資的重要一環。

全球網絡安全領導企業Palo Alto Networks訪問了 300 名本地企業 IT 決策者，進行《香港企業網絡安全調查》，受訪者平均來自本地小型（50 人以下）、中型（50 至 100 人）、以及大型企業（100 人以上），發現疫情下企業管理層對網絡安全日趨重視，有 56% 企業管理層表示比以往更關注網絡安全，62% 的受訪者將網絡安全視為董事會討論的首要議程項目之一，高達 38% 的受訪者更會每月在董事會會議中討論網絡安全問題。

相對之下，大型企業較常成為黑客目標，調查顯示有 43% 大型企業指出破壞性網絡攻擊按年增加兩成，小型及中型企業分別只有 24% 及 37%。Palo Alto Networks 香港及澳門地區總經理馮志剛解釋，是由於網絡威脅日益增長，加上黑客傾向向大型企業「埋手」，惟結果也顯示有為數不少的小型企業同樣遭受攻擊。事實上，有 35% 的小型企業亦表示對公司的網絡安全措施缺乏信心。

小型企業制定網絡安全策略遇困難

對於來年投放在網絡安全的開支預算，有 40% 受訪者表示會投放更多資源，然而僅 29% 的小型企業管理層計劃提高，而且超過 40% 的小型企業沒有專責資訊科技安全的員工，比例遠較中型公司（11%）及大型機構（5%）高。馮指出，中小企業礙於營運方面的限制，通常以業務收益和生產力作為優先考慮條件，但現時應改變固有想法，「應該將網絡安全視為一項保障業務安全、維持營運及盈利能力的可靠投資」。馮又指業界亦有供應商提供由小型企業共享的網絡防禦架構，可以分擔及減輕成本。

報告又顯示，企業視雲端安全、端點保護及身份和訪問管理為優先考慮的業務安全策略，惟對雲端安全更有效的安全存取服務邊緣（SASE） 和零信任安全框架，只得 24% 及 14% 的企業採用。馮建議企業應根據業務考慮網絡防禦架構的排序，在網絡安全防禦上不應「頭痛醫頭、腳痛醫腳」，應該以「從不信任，不斷驗證」的原則，採用零信任安全框架、進行網絡安全評估，並且選擇良好的網絡安全合作夥伴而非產品，以取得最新威脅情報。