熱門話題:
    訂閱電子報 LOGIN

    【中小企難題】HKIRC新興網絡風險研究:內部員工風險成威脅之首

    By Mildred Cheung
    發佈於 September 9, 2022

    香港互聯網註冊管理有限公司(簡稱 HKIRC)發表年度企業網絡安全研究結果,揭示新興三大無形網絡安全威脅,分別為內部員工風險、供應鏈風險及負面 SEO 風險,資源有限的中小企尤須倍加留意。早前 HKIRC 以問卷訪問了本港超過 800 家、來自零售、製造和進出口、住宿和餐飲、培訓和教育、金融服務、專業機構、資訊科技及非政府組織等不同規模的企業,以香港中小企佔大多數。HKIRC 的研究列出現時新興三大網絡威脅:內部員工風險、使用第三方服務供應商,以及負面「搜尋引擎優化」,並提出應對建議。

    焦點數據:

    - 各行業的數碼使用率整體急增 63%,以培訓和教育行業的增幅最高,達 85%
    - 81% 受訪企業沒有為員工提供定期網絡安全培訓
    - 受訪企業中有 59% 均有使用第三方服務供應商,當中五成更與供應商分享客戶及公司數據

    HKIRC 行政總裁黃家偉表示,隨著數碼轉型的步伐一日千里,網絡安全事故也愈趨頻繁;新類型網絡安全危機更在不知不覺中產生,構成無形風險。因此問卷調查以香港企業『對新興網絡風險的安全意識』為主題,讓中小企對症下藥,制定有效策略和推出相關免費支援服務,協助企業跨越網絡安全挑戰,特別是本地中小企。

    HKIRC 列出新興三大網絡威脅:

    1. 內部員工風險
    2. 使用第三方服務供應商
    3. 負面「搜尋引擎優化」

    1.      內部員工風險最高 成新興三大網絡威脅之首 

    疫情持續加速數碼轉型步伐,各行各業的數碼使用率整體急增 63%,培訓和教育行業的增幅最高,達 85%。然而,近七成員工坦言自身的網絡安全意識不足,當中培訓和教育、製造和進出口以及零售行業更面臨最大員工風險漏洞。HKIRC 指出,問題癥結在於員工培訓嚴重不足。研究結果顯示,81% 企業沒有為員工提供定期網絡安全培訓,零售、住宿和餐飲及非政府組織等行業更高達近九成,主要原因為沒有迫切需要及欠缺資源作培訓。儘管企業了解員工可帶來的網絡風險,惟大部分企業忽略培訓的重要性,致使內部員工風險成為新興三大網絡威脅的榜首,當中培訓和教育界所面對的威脅最大,脆弱度達 59%。

    2.      使用第三方服務供應商 網絡危機不容忽視 

    受訪企業中有 59% 均有使用第三方服務供應商,當中有五成更與供應商分享客戶及公司數據。受業務性質使然,非政府組織等行業、零售及製造和進出口行業所面對的供應鏈風險較其他行業高。黃家偉提醒,要慎防供應鏈的安全漏洞:「中小企一般欠缺系統開發資源,使用第三方供應商的服務,無疑是更具成本效益的做法。但千萬要小心供應鏈上黑客滿布,一不留神就會被入侵,影響系統的機密性及完整性;甚至讓用戶錯誤下載惡意程式,造成企業更大損失。」

    雖然有逾半數受訪者知悉供應鏈攻擊的風險 ,而企業面對其風險的脆弱度亦是新興三大威脅之中最低(12%),但仍有 41% 並無對第三方供應商採取積極的保安措施,住宿和餐飲(50%)、零售(57%)及非政府組織(59%)等行業尤甚。受訪者普遍認為只要簽訂「不披露協議書」(NDA) ,供應商便有責任確保客戶及公司資料得到妥善保障,故並無制定其他保護措施。黃家偉建議,企業應多管齊下,從多方面推行防範數據外洩的措施,例如限制供應商的存取權限、在交換資料時增設密碼保護,以及定期更新供應商提供的軟件等。

    3.      「搜尋引擎優化」的雙面刃 

    現時大部分企業都利用「搜尋引擎優化」(SEO) 提升網站在關鍵字搜尋結果中的排名,以增加網上曝光率,創造商機。受訪企業中有六成均重視 SEO,特別是教育界及資訊科技界。儘管企業認識 SEO 的作用及優勢,惟 75% 未曾聽聞「負面 SEO 攻擊」,故並無制定相應保安措施應對威脅,削弱企業的防禦能力。

    有 72% 受訪企業知道,木馬程式及病毒入侵會導致 SEO 排名下降,但對黑客的其他常用技倆卻感到陌生,包括「暗中篡改 Robots.txt 檔」或「把被懲罰過的域名指向企業網站」等,更有黑客會建立大量惡意連結至受害者的網頁,招數層出不窮,稍不留意就會誤墮陷阱,但單靠防火牆及防毒軟件並不足以識別潛藏網絡威脅。有半數企業正因為對負面 SEO 沒有充分認識,並無持續監察網站或域名的安全情況,特別是住宿和餐飲、零售及專業機構,較其他行業容易受到負面 SEO 攻擊入侵。

    根據調查結果,HKIRC 提出以下提升企業網絡安全的最佳策略:

    1. 增加定期培訓,並透過網絡釣魚演習量度和評估員工的合規性和行為。
    2. 使用「保安接層加密技術」(Secure Socket Layer,簡稱SSL) ,以加強保護本身的數據資料,亦有助提升搜尋引擎優化的效果。
    3. 定期監察公司網站及網域之外,建議使用較有公信力網域以減低釣魚網站的風險,增加網絡安全性。
    4. 使用免費的『網絡安全員工培訓平台』(Cybersec Training Hub),可靈活彈性安排培訓課程,提高企業員工的網絡安全意識之餘,完成課程更可獲頒電子證書。
    5. 透過『網絡安全資訊共享夥伴計劃』(Cybersec Infohub),共享有關網絡安全資訊,攜手防禦網絡攻擊,推動各行各業緊密協作。

    整體而言,面對新興三大網絡威脅,金融服務及資訊科技界的保安能力尤佳,而零售業情況最使人憂心。儘管如此,內部員工風險成為一眾企業面對的最大挑戰。調查結果顯示,大半數受訪企業均沒有為員工提供適切培訓,最大原因是近四成企業決策人認為沒有必要,亦有近三成因欠缺資源而束手無策。

    © 2024 - wepro180 All Rights Reserved.