《保護關鍵基礎設施（電腦系統）條例》上月獲三讀通過，目標於來年正式生效，尚有僅八個月時間，相信營運者（Critical Infrastructure Operator, CIO）正密鑼緊鼓為條例做足準備。到底 CIO 在準備階段時， 最關注的問題是甚麼？應如何解決？香港電訊（HKT）一一為你解答。 受《保護關鍵基礎設施（電腦系統）條例》（下稱條例）監管的營運者覆蓋八大範疇，包括能源、交通、通訊等行業。《條例》分為三大類責任，當中以「事故通報及應對」——尤其是通報時間、電腦系統安全演習及制定應急計劃，最受 CIO 們關注。 通報時間爭分奪秒　CIO 需加強應變能力 根據警方數字，過去數年本港的科技罪案一直有增無減，至去年終放緩，反映企業投放了一定資源，致力保障網絡安全。在即將來臨的新法例下，企業（尤其是 CIO）所投放的資源或需更多。例如《條例》下關鍵電腦系統嚴重事故的通報時間為 12 小時內，而其他事故通報時間則為 48 小時內，通報時間絕對是爭分奪秒，到底 IT 部門「應對」是否夠快，便成為一大關鍵。…

隨著繳税季節的來臨，公眾在準備提交稅務申報的同時，網絡犯罪分子亦可能會利用人為疏忽，通過各種網絡平台發起釣魚攻擊和詐騙活動。黑客可能透過偽造的稅務局網站和欺詐訊息，誘使用戶洩露敏感的個人或財務資料。因此，香港網絡安全事故協調中心（HKCERT）提醒公眾於繳税季節期間應小心注意網絡安全，尤其對透過釣魚網站要求提供個人數據，或要求立即採取行動的通訊應保持警惕。 想知最新科技新聞？立即免費訂閱！ 經電郵或短訊發送偽造通知 在繳税季節，假冒稅務局的釣魚網站成為網絡犯罪分子的常用手段。他們可能會通過電子郵件或短訊發送偽造的通知，聲稱你的稅務資料需要更新或存在問題，並要求你立即回應。這些詐騙訊息可能會包含一個惡意連結，將你引導至一個假冒的稅務局網站，要求你輸入敏感訊息，如身份證號碼、銀行賬戶訊息等。HKCERT 提醒公眾，稅務局不會通過電子郵件或短訊要求提供此類敏感訊息。 以下是假冒稅務局網站和謊稱來自稅務局的電子郵件的例子： 釣魚網站盜取稅務局標誌、eTax名稱和網址hkataxorevenu[.]com[/]hk。（HKCERT 提供圖片） 釣魚電郵同樣盜取稅務局標誌，以及用 Hong Kong SAR 等字樣來增加緊急性。（HKCERT 提供圖片） 如何識別和防範釣魚詐騙 為了保護自己免受這類詐騙的侵害，公眾在收到任何自稱來自稅務局的電子郵件或短訊時，應仔細核實發件人的身份和訊息的真實性。切勿點擊任何可疑的連結或下載附件，尤其是來自不明來源的郵件。若對訊息的真實性有疑問，請直接聯繫稅務局或相關機構進行確認。 保護個人訊息和財務安全至關重要，以下是 HKCERT 的一些建議： 不要查閱被瀏覽器標示為可疑的網站和不應點擊任何不明來歷的連結，例如來自搜尋引擎的廣告等。檢查瀏覽器上所顯示的網址域名有否可疑，惡意的網址域名帶誤導性或與所聲稱機構名稱不符。使用瀏覽器的反釣魚功能來幫助阻止釣魚攻擊，這些功能可以分析網址並在偵測到釣魚網站時彈出警告頁面。當收到可疑的電子郵件或即時訊息時，請務必通過官方渠道核實詳細訊息。切勿在不明來源的網站或向未知發件人提供上個人資料或登入密碼。若網站並非使用…

香港網絡安全事故協調中心（HKCERT）早前公布，網絡釣魚佔 2024 年全年處理的保安事故總宗數逾六成，情況為五年來最嚴重，而去年惡意軟件數量亦顯著上升，當中大部分更屬於引誘用戶安裝的木馬程式。對企業來說，以上發現反映出端點漏洞仍是黑客偏愛利用的一大保安弱點。致力協助機構推行數碼轉型的 HCLSoftware 就此提醒本港企業，端點安全固然要重視，但數字經濟的急速發展亦令端點類型與數目激增，為企業的 IT 團隊帶來額外沉重的支援和管理壓力。因此，企業引進一個可以跨平台監察、管理和保護各式端點的一站式解決方案實在刻不容緩。 綜合管理提升效率保障安全 端點泛指連接到電腦網絡並與其交換數據的實體裝置，除了管理層一般認知的流動裝置、桌上型電腦，其實還包括伺服器，甚至銷售點（POS）系統、數碼顯示屏以及各種物聯網（IoT）設備。若 IT 團隊沒有自動化解決方案的協助，需用人手逐一為這些端點進行風險審查和緩解漏洞，費時失事之餘更會令黑客有機可乘。 事實上，由港府「數字政策辦公室」制定的《資訊科技保安指引》（G3）不僅要求政府各決策局或部門在所有伺服器、工作站和流動裝置中部署「端點偵測與回應」解決方案，更已規定各決策局或部門採用風險為本的方法，以「一致及有效的方式」為 IT 系統識別保安風險，訂定應對風險的緩急次序和應對有關風險。換言之，要貫徹風險為本的安全策略，自動化端點管理的常規程序便應結合掃描識別、評估、追蹤和緩解漏洞（包括修補程式管理程序以安裝必要的更新，限定授權軟件安裝，以及調整己置設定）等程序，以確保任何新洞在被利用前得以及時識別和修復，達到增強整體 IT 基礎設施安全勢態的目標。 HCLSoftware 大中華區總經理 Terry Leung…

近年本港持續面對層出不窮的保安事故，當中以「網絡釣魚攻擊」最受公眾關注。網絡安全解決方案供應商 Sophos 研究調查指，有黑客利用 SVG 檔案格式，繞過系統的反釣魚軟件功能，市民不得不防。 想知最新科技新聞？立即免費訂閱！ 香港網絡安全事故協調中心（HKCERT）在過去一年間，發現與網絡釣魚相關的連結超過 48,000 條，整體狀況遠較去年多出 1.5 倍，而銀行、金融及電子支付行業更成為重災區。Sophos X-Ops 團隊近日發布最新研究，揭示網絡釣魚攻擊的手法正持續演變並日益猖獗。黑客開始利用可縮放向量圖像檔案（SVG 檔案），以繞過系統針對釣魚攻擊和垃圾郵件的防護和過濾系統。 攻擊高度客製化 SVG 檔案與可擴展標記語言（XML）的格式相似，而兩者均可用於繪製圖片，所以不法分子看準機會散播釣魚攻擊。Sophos X-Ops 團隊發現自去年底起，釣魚詐騙集團開始以向受害人發送附有惡意 SVG…

在數碼轉型浪潮中，資訊安全的挑戰與日俱增。有市場報告預計在 2025 年，全球會有超過 500 億部設備連接互聯網，可以想像網絡安全的覆蓋面有多廣闊及複雜。不過，只要做好以下四大防護，便可以建立「數碼護城河」，無論是對內抑或對外，都可以阻止攻擊發生。 想知最新科技新聞？立即免費訂閱！ 近年不少調查數據均顯示網絡攻擊的數量及造成的損失都有升無跌，在攻擊數量方面，自從 ChatGPT 等生成式 AI 面世，網路釣魚攻擊便暴增了4,151%！在損失方面，最新統計亦顯示平均每宗資安事件都會造成高達 480 萬美元的損失，較去年上升 10%。企業若要遠離網絡攻擊，便要參考如何做好四大防護工作。 風險管理框架 有效的風險管理框架不僅能夠迅速應對突發事件，還可以主動識別弱點和降低漏洞風險。全面的風險管理策略應以保護關鍵業務和數據私隱為核心，當中必須具備透明度，掌握數據的儲存位置、存取者的身份及適當分配權限，時刻以「零信任」和「設計安全」為原則，持續評估風險和保持靈活的思維。另外，要確保快速應對入侵事件，必須設立事故響應團隊，並清晰指定主要聯絡人及各部門的職責。高層管理人員如 CTO、CIO 和 CISO 須互相協調目標，定期評估資安計劃，良好的溝通和共享威脅情報有助於提高應對能力。…

Orange 的網絡安全專業經營單位 Orange Cyberdefense 日前發布年度資訊安全研究報告《Security Navigator 2025》，提及關鍵基礎設施和公眾信任面臨的威脅持續增加，報告指各機構需加強防禦能力，以應對日益增加、由政治動機驅使的網絡攻擊。 報告顯示，一個著名的親俄羅斯黑客行動主義組織，將歐洲列為主要攻擊目標，96% 由並發動的攻擊集中歐洲，大部分攻擊針對烏克蘭、捷克、西班牙、波蘭和意大利。同時，歐洲是全球受網絡勒索影響第二大地區，受害者數量按年升 18%。受影響最嚴重歐洲國家為意大利和德國（各佔 19%）、法國（16%）、西班牙（13%） 及比利時（8%）。 想知最新科技新聞？立即免費訂閱！ 報告指出，上述親俄羅斯黑客行動主義組織非常活躍，自 2022 年初以來，已發動逾 6,600 次攻擊，主要針對具代表性的歐洲機構。他們越來越了解認知作戰的威力，不但巧妙運用科技干擾造成直接影響，更意圖操控公眾輿論、削弱對機構的信任，並動搖社會信心。 這些組織試圖透過攻擊與選舉相關系統及其他具代表性機構，促使公眾關注其重視的政治和經濟議題，同時製造恐慌、不確定性和散播懷疑。現代行動主義黑客的策略出現轉變，除了針對基礎設施以外，更著重影響公眾認知，為負責保護實體資產和維護公眾信任的機構，帶來前所未有的挑戰。 行動主義黑客開始威脅營運科技系統…

2024 年香港網絡安全事故協調中心（HKCERT）處理的保安事故總數，已經超過 12,000 宗，創下歷史新高。然而，私隱專員公署與生產力促進局聯合公布的「香港企業網絡保安準備指數」卻顯示，本地企業的網絡安全準備，平均僅維持於「具基本措施」級別 ，可見各行業普遍未有足夠決心防禦日益猖獗的網絡攻擊。事實上，隨著人工智能（AI）的應用日漸普及，全球企業在 2025 年，將要面臨更大的網絡安全風險，所以環球雲端交付及網絡安全平台 Akamai 提醒各界在防範網絡攻擊措施方面，必須有更周全的考慮和更嚴格的執行。 GenAI令網絡攻擊更高效 Akamai 行政總裁兼聯合創始人 Tom Leighton 在早前的國際傳媒訪問中指出，目前仍屬發展初期的生成式人工智能（GenAI），對網絡安全的潛在影響力，已首先體現在攻擊者一方。黑客現可借助系統，訓練開發出非常複雜的惡意軟件和相關變種，成功逃避目標機構的防禦措施。此外，GenAI 還令非常逼真的深偽技術橫行，讓黑客輕易偽造聲音、影像和文字去假冒別人身分，並透過電郵、視像通話等不同媒介欺騙目標，提升攻擊的滲透率和影響範圍。 據 Akamai 專家團隊的預測，利用這類 AI…

香港網絡安全事故協調中心（HKCERT）總結去年香港網絡安全狀況，並發布 2025 年網絡安全預測，指供應商安全性不穩及 AI 生成內容被騎劫，將成本港網絡安全主要風險；並發布物聯網數碼顯示屏保安研究報告，顯示數碼顯示屏或成攻擊目標，這種新型保安漏洞，正時刻威脅企業及個人安全，情況值得關注，各界應做足保安措施，防患於未然。 想知最新科技新聞？立即免費訂閱！ HKCERT 日前舉行「香港網絡安全展望 2025」暨「物聯網數碼顯示屏保安研究報告」傳媒簡介會，指出 2024 年共處理 12,536 宗保安事故，其中網絡釣魚佔整體個案超過一半（7,811 宗，佔 62%），對比 2023 年上升 108%，數字錄四位數增加（共增加 4,059 宗），情況為五年來最嚴重。…

全球擁有 4 億用家的網站管理平台 WordPress 再被爆出安全漏洞，發現漏洞的安全研究機構 Wordfence 更指這個漏洞的嚴重性在其成立 12 年的歷史中屬最罕見案例，因為它允許黑客遙距發動攻擊，可輕易獲得受影響網站的完全管理權限。現時約有 350 萬個網站可能暴露在這次安全漏洞之下，網站管理員必須即時檢查有否受影響並更新版本，才能阻止黑客入侵。 想知最新科技新聞？立即免費訂閱！ 官方插件出現嚴重身份驗證漏洞 這次安全事故的兆因出在 WordPress 的官方插件 Really Simple Security（前身為「Really Simple SSL」）之上，研究員發現在 9.0.0…

網絡安全供應商 CrowdStrike 更新軟件出現缺陷，導致微軟 Windows 系統出現「藍 Mon」，全球有多達 850 萬裝置受影響，有專家估計全球經濟損失高達 150 億美元（約 1,171 億港元）。出事源頭 CrowdStrike 現已向用戶公布解決措施，表示正積極協助受影響客戶；香港網絡安全事故協調中心（HKCERT）亦呼籲用戶需警惕借此事件乘勢而起的網絡釣魚攻擊。 想知最新科技新聞？立即免費訂閱！ 事件爆發後，CrowdStrike 在官方網站及社交平台上更新最新消息。CrowdStrike 創辦人兼行政總裁 George Kurtz…