網絡安全威脅日益嚴重，為保障關鍵基礎設施的電腦系統，政府在今年提出《保障關鍵基礎設施（電腦系統）條例草案》，以確保營運者隨時做好應對突發事件的準備。除此之外，保險業監管局（保監局）為應對相關挑戰，亦正透過網絡安全指引下推出網絡防衛評估框架（CRAF），以加強網絡安全保護及業界營運韌性。 想知最新科技新聞？立即免費訂閱！ 保監局行政總裁張雲正於 2024 香港金融科技周中表示，近年全球網絡騙案數目和涉及金額以倍數增加，主要詐騙手法包括殭屍網絡、惡意軟件及釣魚攻擊等，自己亦曾遇上騙徒，幾乎入錢至詐騙戶口，認為相關網絡風險問題相當嚴重。 保險業監管局行政總監張雲正於香港金融科技周 2024 發表主題演講（圖片來源：保險業監管局） 張雲正又指出，雖然人工智能是能在吸納客戶、保單核保、顧客服務、申索理賠及偵測詐騙等方面帶來正面效果的強大工具，但必須受到人類監察。因此，保監局的首要任務是落實一個穩健而具彈性的監管框架，推動公平、透明和符合道德地應用人工智能。而有關網絡防衛評估框架已諮詢相關委員會，預計於明年 1 月推出。

繼 Fortinet 收購雲端網絡安全初創公司 Lacework、Palo Alto Networks 收購 IBM 的 QRadar SaaS 資產後，網絡安全解決方案供應商 Sophos 近日簽署最終協議，宣佈以全現金約 8.59 億美元收購網絡安全公司 Secureworks，交易預計將於 2025 年初完成。 合併產品組合惠及大中小型企業…

網絡威脅日益增加，甚至有機會影響社會正常運作。政府於今年提出《保障關鍵基礎設施（電腦系統）條例草案》（下稱《擬議條例》），涵蓋八大產業，尤其是針對電腦系統的安全。近來，針對保障關鍵基礎設施（電腦系統）的條例草案已經引起了廣泛的討論和關注。主要是針對不斷增長的網絡攻擊和網絡罪案，保障關鍵基礎設施的安全不僅僅是一個單一機構或系統的問題，而是關乎整個香港社會和經濟運作的穩定性和安全性。 規管範疇甚廣需注意 《擬議條例》下的關鍵基礎設施，包括：為香港提供必要服務的基礎設施，如能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播；以及其他維持重要的社會和經濟活動的基礎設施，如大型體育／表演場地、科研園區等亦包括在內。 受規管的機構應及早部署，了解自身網絡安全架構之外，亦可選用合適網絡安全方案，滿足法例要求，避免違規。 關鍵基礎設施營運者的責任 上述營運者在架構、預防、事故通報及應對責任三大類別上，需履行法定責任，如無合理原因下未能符合即屬違規。以下列出部份類別上的營運者責任，對於受規管的機構而言，要在有限的人手下預防網絡威脅、制定電腦系統安全管理計劃，以及發生事故時能迅速應對、通報及提交書面報告，成為符合法規的關鍵要點。 針對條例類別    HKT 提供全面網安方案 雖然大部份基礎設施營運者機構均設有 IT 部門，但要專責處理《擬議條例》合乎要求，所需額外 IT 資源也不能低估。香港電訊（HKT）身為全港最大網絡服務供應商，在網絡層面上具備優勢，能快而準地掌握本地至全球網絡攻擊情報，加上在網絡安全範疇上經驗豐富，無論在《擬議條例》中的架構、預防或制定安全管理計劃方面，均能為企業及機構提供最佳方案，以符合新法例要求。 架構、預防及制管   一 一應對 在架構方面，無論在資金或人手上都需要投放大量資源，企業可採用網絡安全託管服務，將網絡安全工作外判，減輕企業負擔。HKT 透過注入 AI…

人工智能近年的蓬勃發展相信有目共賭。以往企業主要利用分析型人工智能（Analytical AI） 或符號人工智能（Symbolic AI）來提升效率和決策。如今，生成式人工智能（Generative AI）的進一步發展將解鎖更多新可能性，甚至開始廣泛應用於時裝、設計、媒體和娛樂等界別。 根據國際數據資訊公司 IDC（全球著名的資訊科技、電信行業和消費科技諮詢供應商）發表的數據，自 2023 年，亞太區七成企業已開始嘗試應用或投資生成式人工智能，員工也願意在工作中使用生成式人工智能等技術。UiPath 最新的一項調查反映，有六成香港員工會在工作時使用生成式人工智能，比率為全球最高的兩個市場之一。大多數香港員工（63%）普遍相信生成式人工智能工具的輸出結果，當中超過一半（52%）認為生成式人工智能工具可以創造更大的商業價值。 雖然各行各業都不斷在討論生成式人工智能對不同行業的衝擊及幫助，但我們不應該只停留於紙上談兵，而是需要更專注於如何提升其跨行業商業價值。值得注意的是，僅僅依賴人工智能已不足以實現全方位的數碼轉型。我們應該更適時地將人工智能技術應用並整合到更廣泛互通的商業計畫之中。 發揮生成式人工智能的最大潛力 人工智能的輸出結果與輸入的品質息息相關。維護完善的數據，確保資料從不同來源匯聚到統一可靠的數據庫中，是令數據變得更準確的正確方向。此外，我們還需要針對不同且複雜的業務功能訓練人工智能的模型，以降低依賴人工智能演算法而產生誤差的風險。這也正是我們和人工智能機器彼此相輔相成的地方，從而為強大的人工智能生態系統奠定穩固的基礎。 另一方面，雖然生成式人工智能可以理解和創造不同類型的內容，但仍缺乏一定程度的執行力。沒有自動化的人工智能就好比失去身體的大腦，可以思考，卻無法單憑洞察力做任何事。在企業數碼轉型的過程中，兩者缺一不可，惟有自動化和人工智能兼具才能有助企業加快進行重要決定。 事實上，一些金融和監管機構已經結合生成式人工智能和自動化，簡化識別可疑交易的流程，並加快預防和檢測詐騙交易，從而提高效率。香港銀行業界正利用生成式人工智能的力量，進一步加強風險管理、反詐騙工作和提升客戶體驗等領域。例如，香港金融管理局最近推出了新的生成式人工智能（Gen AI）沙盒，促進銀行業界進一步數碼轉型和負責任地發展創新人工智能。相似地，業界能結合自動化工作流程與生成式人工智能，向金融交易中的交易歷史和客戶行為等數據作自動分析，當異常的交易已被自動標記，分析師便可以更專注於驗證交易並及時處理詐騙案件。除此之外，人工智能機器人還能自動在更深入的應用程式中設定指標，以便在未來偵測到可疑情況時立即啟動警報程序。 自動化還可以幫助整理訓練數據（training data），在將數據輸入人工智能模型之前去除異常值和無關資訊。在自動化的幫助下，透過回饋訓練，企業可以反覆改善和更新人工智能模型，從而降低人工智能演算法失誤的風險。自動化的另一好處是可以識別造成錯誤預測的運作模式，並分析人工智能模型中的錯誤，企業因此可以更有效地找出錯判的根本原因，並對人工智能模型進行微調。簡而言之，結合自動化和人工智能可以幫助各行各業開拓商機、提高效率並推動行業創新發展。 融入生成式人工智能　實現數碼轉型 雖然生成式人工智能和自動化的協同作用蘊含著巨大潛力，但企業若不夠成熟就貿然採用新技術或會帶來反效果。在此之前，企業應先建立支援生成式人工智能和自動化功能的數據管理流程和基礎系統。…

Cloudflare 最新公布，事隔三年 DDoS 流量攻擊的紀錄再被刷新，報告內指在今年 9 月內曾為客戶攔截了一次最高峰值達到每秒 3.8Tb 的攻擊，而且該次流量攻擊更持續 65 秒，要耗盡企業客戶的雲端運算及網絡資源，簡直易如反掌。 想知最新科技新聞？立即免費訂閱！ Cloudflare 表示這次 DDoS 攻擊並非單一事件，因為單在 9 月，公司已攔截了超過 100 次針對 L3…

數碼新時代來臨，API（應用程式介面）作為應用程式之間數據交換的主要渠道，使用量迅速增長，同時成為黑客主要攻擊目標。全球領先的雲端服務供應商 Akamai Technologies 亦預視到未來市場對 API 安全的需求，今年中以 4.5 億美元收購頂尖 API 安全公司 Noname Security。小編今次特意請來專家，詳細講解雙方整合至今，如何完善並擴充原有的產品功能及能力，為企業提供更安全可靠的 API 保護。 一個月多達48億次API攻擊 現時 API 在互聯網中廣泛被應用，物流快遞、網購、電子支付等平台都是常見的 API 應用例子。根據…

疫情促使企業轉向數碼化的趨勢快速發展，引發網絡安全生態發生數個重大變化。全球步入數碼時代，今時今日的企業需要更多工具、應用程式、存取和連接。另一方面，企業併購、週期性的人員變動、雲端採納持續增加等多種變數，要有效且有效率地為用戶提供相關必要資料的存取權限變得更加複雜困難。 想睇更多專家見解？立即免費訂閱！ 身分數量龐大　僅手動程序難應付 企業面對管理包括員工、承辦商以至機器等數以百萬個身分，而這些身分與大量存取點連接，當中又附連不同的存取權限等級要求，必須審慎管理。要應付如此繁重的工作，企業卻通常僅依賴身分驗證和聯合身份驗證來核實員工的存取權，惟這也缺乏治理監督，未能妥善管理誰有權存取甚麼資料。更令人擔憂的是，有企業仍然依賴手動程序來授予資源存取權限，然而身分數量龐大，手動程序根本無法持續監控、分析及評估風險。 香港企業面對的網絡威脅趨增，去年錄得的企業網絡攻擊報告便有 37 宗，比 2022 年的 24 宗增加 54%；呈報的虧損則從 2022 年的 70 萬港元增至 210 萬港元（268,400美元）。 在此背景下，Verizon 最近的數據顯示，86%…

早前有外媒報道，一名叫 Justin Culmo 的網絡罪犯被指控利用生成式 AI 製作孌童及虐兒照並在網上發佈及銷售，涉及的數量多達數千張，當中更有他女兒的照片，而 Culmo 拍攝素材的場地，更是在美國佛羅里達州的夢幻樂園 Disney 內，再次引起公眾對監管生成式 AI 的爭議。 想知最新科技新聞？立即免費訂閱！ 生成式 AI 自前年開放讓公眾使用後，雖然對提升企業工作效率及網民的日常生活帶來不少便利，但同時間網絡罪犯亦借用來犯案，例如以 deepfake 技術製作虛假影片或進行電話詐騙，借用 AI 編寫網絡攻擊程式等，因而在社會上引起不少爭議，希望能有效監管這些…

近期，雲服務供應商 Wiz 的調查團隊捕獲一個專門針對 AWS 帳戶的釣魚攻擊活動，目的是盜取用家的帳戶登入憑證。攻擊始於一封僅包含 PNG 圖片的釣魚電郵，並利用一連串的連接轉換及隱藏身份手段，繞過網絡安全工具的檢測。 想知最新科技新聞？立即免費訂閱！ 利用多重導向盜取用家憑證 黑客首先盜用了一個 AWS 帳戶發送釣魚郵件，並將發送的電郵地址偽裝成 [email protected]。當受害者點擊電郵中的圖片時，便會被重新定向至一個惡意網站，並引導受害者至一個 PDF 閱讀器。 PDF 中包含了一個 Invoice 連接，只要受害者點擊打開，便會觸發另一次重新導向，進入一個由黑客控制、偽裝成 AWS…

筆者不久前剛分享過，如何在地下水道及密閉空間實現「4S 管理」，以保障工人的安全。喜見有關當局早前迅速通過了《密閉空間工作守則》的修訂並刊憲，顯示了當局對相關問題之重視。 想睇更多專家見解？立即免費訂閱！ 新修訂的細則中，要求東主或承建商在整段工作期間於密閉空間出入口拍攝視頻，以監督相關人員在執行和遵守安全控制措施的情況，並須保存視頻記錄。此外，更新增了詳細的危險評估表格範本、空氣監測警報設備的設定等要求，進一步強化了對工人安全的保障。 在空氣監測警報設備方面，筆者曾撰文分享方案。簡單來說，業界可善用移動電源的空氣傳感器和藍牙感應器等裝置，配以工人佩戴的智能手錶或頭盔，與智能中央管理系統連結，若出現異樣，系統即時發出警報，及時作出救援。 至於視頻監督設備方面，以下是一些業界在採購時應注意的事項和重點： 1．鏡頭設置：必須覆蓋整個出入口，避免出現監測盲點，有需要時於出入口設置 2 至 3 個鏡頭，以確保全境監測，故應選輕巧的裝置。同時，建議地下空間內亦需要裝置掛牆式的視像鏡頭，能清楚看到工人地下施工的情況，確保工人安全。 2．便攜性：因裝置可能需要經常移動，建議選用一些便攜的裝置，最好是簡單到能在三腳架上設置影像鏡頭，要輕身又易於移動，可由 1 至 2 個工人輕鬆搬動及設置。 3．電池耐用量：這些裝置往往需要長時間運作，故維護電源是工地的一大痛點。有些影像鏡頭裝置主打 All in One，集合了影像鏡頭、路由器、偵測器、警報器於一身，概念雖好，但耗電量大，且裝置體積偏大不利移動。…