有調查指，全球每 11 秒便有機構受勒索軟件攻擊，平均勒索金額高達 200 萬美金，導致企業平均 downtime 23 日。有駭客甚至針對 backup 及雲端數據展開攻擊，即使有備份都恢復不到數據。 針對一般企業應對駭客攻擊的不足之處，數據保護領域先驅 Veritas 香港及澳門總經理 Willie Hung 表示，由於企業儲存的數據資料愈來愈多，儲存於 premises、cloud 甚至 edge server，因此被駭客攻擊的…

Gartner 調查指出，2021 年美國企業預計投資超過 1.5 億美元在資安與風險管理技術上，對比上年增長達 12.4％，咁大家就更安全啦…？事實卻是幾乎每星期都有一宗轟動全球的黑客入侵個案 － Radixx、Pulse Security、Trend Micro、Solarwinds、Shopify、CryptoForHealth、Twitter、Tesla…以上例子被 Hack 手法不一，但開支愈大是否等如成效愈大？情況就如添置了空氣淨化器，也要開機才可濾走有害物質，但事實係有不少個案，有工具而閒置。這次想討論的，就是資安效益。 資安效益取決於企業能否抵擋已知與未知的威脅，種種防毒掃毒程式扮演相當重要角色，不過企業大多「買咗當用咗」心態，絕大多數不會測試工具是否暢順運作，盲點由此而生，黑客乘虛而入，機構規模愈大，盲點愈多。既然大家花那麼多時間、精神與資源去寫 Proposal 申請撥款、格價揀 Vendor，到最後買齊所需程式，卻沒有定期測試是否正常運作而遭黑客洗劫？這是需要切腹的結果。 根據 2020 State of…

一個正評，足以影響潛在買家對產品的信心，所以大型購物平台的賣家，不時強調在網絡上的產品評論來自真實用家回饋，以贏得潛在客仔的歡心，於是假評論針對這種心理應運而生。最近一個公開的數據庫揭示有超過 200,000 人參與購物平台 Amazon 的產品虛假評論騙局，參與者的姓名、電子郵件地址和 PayPal 詳細資料被公開。 不少賣家都希望能排除競爭對手，而獲得最大利益，得到最多得訂單，於是以對自家產品的虛假評論，來獲得在 Amazon 網上購物平台的優勢，包括收賣不同人，以金錢購買換取正評，或提供免費物品換取積極的回應。它們的運作方式和如何在亞馬遜的監視下保持變化，在對外開放的 ElasticSearch 數據庫中，披露了一些內部運作的原理。 安全研究人員透露，該公共及線上數據庫中，包含了 7GB 數據和 1,300 萬條記錄，而這些記錄似乎與大型虛假評論騙局有關。目前，該數據庫的擁有者為誰尚未清楚，但有迹象顯示，由於這些相關評論是以中文編寫，故消息洩露或源自中國。數據庫中包含約 200,000 至 250,000…

數碼轉型已經深入生活的每一個部分，企業與客戶活在以雲端應用，與智能手機為中心的經濟體系內，對於應用與服務開發的速度與效益持續提升。結合開發人員（Development）與IT營運管理（Operations）的「DevOps」流程，近年已成為不少企業，藉此加快服務開發生命周期的新文化，最近更出現融入保安管理的「DevSecOps」框架。 JFrog China 總經理 George Hurn-Maloney 認為，市場目前正經歷轉型時刻，開發服務的速度提升，但當中帶來的網絡安全隱患值得留意。 DevOps或存在安全隱患 擁有多年推動DevOps項目經驗，早於2017年創立當地分公司的JFrog China總經理George Hurn-Maloney認為，市場目前正經歷轉型時刻，開發服務的速度提升，但當中帶來的網絡安全隱患值得留意。他指出就算是JFrog目前大部分屬於傳統銀行的客戶，也要經歷雲端架構與服務轉型的陣痛。 George指目前有90%軟件，以至市場上炙手可熱的Kubernetes（K8s）Containers標準與應用，其實都是建基於開源標準，雖然這是時代的進步，但也有可能造成網絡安全問題。而JFrog China正與包括羅兵咸永道（PwC）與香港代理群柏數碼科技（B & Data Technology）等多個機構合作，除了融入開源社群，推動DevSecOps文化之外，也協助企業客戶檢查當中的源碼，是否存在被入侵與其他網絡風險問題，融入更高規格的安全掃描標準。當中B & Data總經理Billy表示，該公司於去年底開始與JFrog China合作於本地推出DevSecOps相關服務，而目前JFrog推出包括插入軟件（Plugin）的選項，讓開發者能在初期發現潛在風險或問題。 B…

公司被黑客入侵，好多時都因為員工疏忽，錯誤開啟了電郵內的惡意連結或附件，不過在怪責他們的同時，企業管理者有否反思公司提供的網絡安全訓練是否足夠？內容能否吸引同事細心閱讀？記著以下 5 個要點，才可令同事在培訓課程時專心及上心。 有調查顯示，企業被入侵的原因九成出於員工誤開釣魚電郵，而且隨著疫情下在家工作 (Work From Home) 變得普及，員工在公司以外環境下工作，防禦力自然更薄弱，因此有必要提高員工的網絡安全意識，於源頭阻截惡意攻擊。不過，有企業管理者會懷疑，明明公司已提供各種網絡安全培訓，為什麼員工就是無法上心？歸根究底，問題可能出在培訓課程之上。不妨留意以下幾點，重新審視安全培訓課程內容，才能讓課程變得有效率及有意義。 1. 內容要專 一個優質的課程，內容必須夠專及到位，必須因應行業特性安排培訓內容，而不是隨便拿取網上的網絡安全培訓樣本使用，以金融業為例，同事可能須更注意各種合規要求，貿易公司則可能面對較多商業詐騙電郵 (BEC) 攻擊，不能一概而論。 2. 真實事例 在準備培訓內容時，必須加入真實事例講解，以釣魚攻擊為例，如只告訴員工釣魚攻擊可令電腦中毒，員工未必意會到有多嚴重。應該清楚舉例說明黑客的攻擊手段，例如會引誘員工開啟惡意附件，或預先架設一個虛假網站套取帳戶登入資料，員工才會理解如何防範。 3. 簡潔說明 這點不難理解，培訓課程的時間不應太長，解說亦要簡潔到位，員工才不會因說明時間太長而失去集中力。如果能夠加入有趣的例子或互動元素，自然更容易上心。 4. 高透明度 公司引入各種網絡安全守則及工具，雖然出發點是為了公司及員工著想，但始終會引來員工疑慮，擔心公司會以安全為名，實則加強監控工作。因此企業管理者必須詳細解釋安全守則及工具的內容及會收集到哪些資料，讓員工清楚理解不會侵犯其私隱，員工才會樂於按照安全指引辦事。 5. 因人而異 每個同事對網絡安全的認知不一，因此培訓內容也要作出調校，企業管理者可安排員工接受安全測試，因應其安全意識分成不同的小組並提供合適的課程內容，這做法不單可找出高風險員工優先培訓，更不會因課程內容太深或太淺，令員工失去專注力。…

上月教育行業受勒索軟件影響之後，英國國家網絡安全中心（National Cyber​​ Security Center, NCSC）就如何保護網絡免受網絡犯罪分子侵擾提出建議，並警告針對學校、學院和大學的勒索軟件攻擊激增。 政府通訊信總部（Government Communications Headquarters, GCHQ）網絡安全部門的警報指，在過去一個月中，針對教育的勒索軟件攻擊數量激增，而與此同時，學校亦正準備恢復面授課程。 勒索軟件會攻擊加密伺服器和數據，從而阻止組織提供服務，在這種情況下，網絡罪犯企圖令學校和大學因要維持教學，而屈服於勒索要求，並要求受害者以比特幣支付贖金，換取恢復網絡的解密密鑰。而在最近受影響的教育機構中，勒索軟件令學生課程、學校財務記錄以及與 COVID-19 測試的有關數據損失。這些黑客威脅如果他們沒有得到贖金，便會發布被盜數據。 NCSC 運營總監 Paul Chichester 表示，任何網絡犯罪分子以教育行業作為目標，是完全不能接受的，並指這是一個日益嚴重的威脅，強烈鼓勵學校、學院和大學跟從指引採取行動，確保學生能不受干擾。NCSC的網絡安全建議包括制定有效的漏洞管理策略和安裝安全修補應用程式；以多重因素身份驗證，保護遙距線上服務，以及安裝和啟用防病毒軟件。 另外，NCSC 亦建議組織作離線備份，倘遇到因勒索軟件攻擊而需關閉網絡，仍可在不需支付贖金的情況下，恢復內容。 NCSC…

1 月 WhatsApp 通碟用戶－接受新條款上繳更多個人資料 Or 封號，用戶二揀一。過程橫蠻專制，盡顯「呢度我話事」，激起民憤。一夜間，轉會 Post 洗版各社交平台，Telegram、Signals 的注冊用戶千倍激增，但 WhatsApp 未有收回成命，以延遲 5 月執行新規作為「最大妥協」，承諾不會封號亦不過將封號行為分拆成兩步驟，簡單講，WhatsApp 憑著早著先機、用戶慣性、跨平台、廣泛功能等粘著效應，估算用戶最終不會為新條款舉家移民，適應新平台，Signal 下載量在排行榜高峰回落亦印證了 WhatsApp 估算。眼見 WhatsApp 在 PR…

曾幾何時，遙距辦工只是少數初創公司或者科技大企的員工方會有的上班模式。但在疫情全球大爆發後，各國的企業都考慮或實行讓員工在家工作，以避過阻止公司倒閉停運。 根據 TechRepublic 的一項調查，61％ 的企業已經竭盡全力為大部分員工安排遠距工作。鑑於 61% 的受訪者接表明，寧願在家工作而不是在辦公室工作，因此可以說遙距工作這個選項，將會繼續存在。對員工而言，這是常規和工作地點的變化，但對於企業而言，這不僅是變化，需要考慮的因素就更多。ZDNet 分享了企業在提供平穩而有成效的在家工作體驗予員工時，須了解的五個注意事項。 遙距辦公工具 無論員工在哪工作，他們都需要有正確的工具。這些員工在辦公室工作時，公司可以為他們提供完成工作的一切：計算機、打印機、電子裝置、書桌、椅子、網絡設備、軟件等。如果認為在家工作的員工應該自行負責設備，這是一個錯誤的想法，如果不願直接為員工所需的工具付費，應至少考慮允許他們購物所需，但在他們購買前必須先取得批准，否則員工便會購買高價的椅子和電腦。 根據調查，有 56％ 的受訪者指，他們的公司在提供必要的硬件如計算機、打印機等時做得很差，而 52％ 的受訪者就指，他們的公司在提供必要的硬件工具表現很差，這些辦公設備所指的是書桌、椅子等。除非情況有所改善，否則員工或無法以最佳的生產力去完成工作，甚至因感到筋疲力竭而辭職。 公司應至少為遙距工作的員工提供： 一部適用於工作的筆記本電腦打印機（如需要）完成工作所需的所有軟件VPN（如考慮到安全性）管理倦怠 保持良好溝通 對於不習慣在家工作的員工來說，倦怠是一個嚴重的問題，因為他們無法將工作與家庭分開。在返工和收工的界線變得模糊時，員工便會感到自己好像在 24/7/365的工作，同時面臨工作與家庭的雙重壓力。要解決管理這個問題，可以與員工或下屬保持良好溝通，以幫助他們渡過這段時期。…

COVID19 推動 Work From Anywhere，打工仔覺得更有效率，但管理層覺得屏幕濾走積極與熱情，畢竟值班行山這類例子並不罕見，特別疫下百業蕭條，中層更加需要證據證明大家盡忠職守，每日最早與早夜的電郵收發時間已不能成為勤力指標，遠程工作下應有另一套管理規範，但員工老闆們暫時未必有共識。 新一代「提升效率工具」，讓僱主可以全方位洞察員工如何運用工作時間，包括瀏覽歷史、App Screen Time、甚至微管理至 Keystrokes Logging 與 Desktop Session，換句話可說是「攞正牌的黑客」。Skillcast 與 YouGov 2020 年 12 月調查顯示，20％ 僱主正在或有意引入監察員工線上活動工具；英國的…

生產力局（HKPC）公布 2021 年資訊安全展望報告，預料在疫情影響下，針對新科技如 5G、物聯網（IoT）及人工智能會大幅度增加；而因應流動支付愈趨普及，加上虛擬銀行及虛擬金融業的發展，生產力局呼籲，業界應多留意資安資訊，加強保安，用戶也要注意密碼設定和保安措施。該局亦指出 ，供應鏈攻擊會升級，單在去年便增加了 430%，企業應多加留神。 在數碼轉型的新常態下，新技術如 5G、物聯網及人工智能的應用等，可能會導致更多系統或數據流量暴露在不可信的網絡中，以物聯網為例，因為密碼強度太低、通訊未有作加密等，存在保安漏洞，被入侵的風險相應會提高，生產力局建議，應深入了解這類新技術牽涉的保安議題，亦應定期進行網絡保安檢查，評估網絡和系統的保安，及持續監察接觸到互聯網的資訊科技配置。 促企業制定WFH保安指引 提升員工保安意識 生產力局數碼轉型部總經理兼 HKCERT 負責人陳仲文指，企業必須為新常態和新技術制定網絡保安策略，在管理計劃中應包括第三方風險、保護任何暴露於互聯網的系統、採用加強驗證並進行網絡保安檢查和監察；另外，企業需要提高員工的網絡保安意識，以應對攻擊。就供應鏈攻擊繞過企業的保安系統的情況，生產力局解釋，攻擊者會利用企業對合作夥伴的信任，來避開保安防禦，通常使用合法軟件發佈機制，將木馬化的軟件組件發布至 「下游」，令企業用家不慎中招。 Work From Home（WFH）工作安排亦為企業保安系統帶來衝擊，有黑客伺機入侵網絡會議，發放不雅內容，又會趁機攻擊缺乏保護的遙距工作端點，生產力局建議企業制訂新常態下的網絡保安策略，提供在家工作安排的保安指南，保護遙距存取設施和端點，並提高員工保安意識，提防釣魚電郵來襲；定期進行網絡保安檢查，評估網絡和系統的保安；持續監察接觸到互聯網的資訊科技配置。企業可以參考該局製作的在家工作的六大資訊保安建議（https://www.hkcert.org/tc/security-guideline/six-security-tips-for-home-office）及評估遠端存取服務保安指南（https://www.hkcert.org/tc/security-guideline/assessing-the-security-of-remote-access-services-guideline）。 使用虛擬銀行 宜設置單獨使用高強度密碼 而在疫情期間能有效減少人與人之間接觸的流動支付，也存在保安風險，陳仲文提到，有流動支付用家將付款…