新冠肺炎第四波疫情悄然降臨,有公司在年頭已開始推行遙距辦公(Remote Working)政策,准許員工在家工作 Work From Home(WFH),亦有公司在疫情緩和之際推行彈性上班。不過,在遠離辦公室的標準網絡安全保護網下,黑客亦蠢蠢欲動,承機以釣魚電郵及網站,以及用惡意軟件等攻擊缺乏安全網絡環境的員工電腦,入侵企業系統。香港互聯網註冊管理有限公司 (HKIRC)行政總裁黃家偉表示,企業和員工都有各自可採取的措施,去營造安全遙距辦公環境,降低資料外洩機會。 Microsoft 早前曾公布數據,指出在疫情爆發後,黑客利用全球所有人對疫情的恐懼和對資訊的渴望,藉機發動網絡攻擊,特別是遭受疫情重創的國家及地區,成功發動攻擊更現上升趨勢;全球每天數以百萬計的針對性網絡釣魚郵件中,大約有 6 萬個包含與新冠肺炎相關的惡意附件或惡意連結。與此同時,因應遙距辦公措施,不少企業未有制定相關指引,讓員工注意風險,HKIRC 上月公布《香港遙距工作網絡安全應用調查》結果,只有約四成的受訪中小企業曾向員工提供遙距工作指導 (42%) 和網絡安全資訊 (41%),而員工亦缺乏網絡安全意識相關的訓練,僅 30% 個人受訪者曾受過這類培訓。 籲以VPN連線 切勿連接公眾Wi-Fi 欠缺使用守則,會令員工因疏忽而造成資料外洩。要改善欠缺網絡安全意識的情況,黃家偉建議,培訓可從人、系統、政策三方面入手:在人方面,要提醒員工注意 Wi-Fi…
Search Results: 指引 (82)
黑客肆虐,令「疫情、新常態、黑客機遇」概念突破資安圈,各行各業漸漸覺悟,明白後疫情年代適應資安生態劇變的逼切性,又以醫療產業感受至深。 自疫情籠罩美國,紐約皇后區 Elmhurst Hospital 每日湧現數以百計病人,其中一名向《The New York Times》訴苦,以「災難」形容醫護周旋於 PPE、呼吸機、照顧病人、培訓臨危受命的新手間。而事實上,醫院 IT 部門狀況亦不遑多讓,隨著病人數目增加,遠程問診系統、收費系統、醫療器材聯網、視像會議平台等使用壓力幾何級暴增,黑客亦趁亂打劫,同期對醫療體系發動的黑客攻擊增幅達 150%,有黑客搶奪病人資料在黑市倒賣或後續進行詐騙,亦有黑客透過 Ransomware 以垂危病人為人質,要脅醫療機構就範。跟小型醫院與 NGO 醫療機構合作超過 10 年的資安與創新專家 Beau Woods 分析,前線醫護在疫情間盡忠職守,大眾視為抗疫英雄,但如果斷網,病人接受的醫療服務質素一定受到影響,甚至超出負荷。而眼下黑客正利用疫情,蜂湧攻擊醫療機構。 疫情前資安專家早已預警,胰島素注射泵或自動體外心臟去顫器等醫療器材長年欠更新、或使用 Window XP 等有漏洞的傳統系統,均構成極大資安風險。美國 FDA 去年發出警告,Medtronic MiniMed 胰島素注射泵有漏洞,黑客可無線更改注射劑量,構成性命威脅,廠方暫時透過軟件更新堵塞漏洞。 總括而言,醫療機構本已深受不可逆轉的病歷數據化與在線醫療器材所衍生的資安漏洞困擾,後疫情下推行遙距問診,個人電子裝置收集的個人健康資訊,未來勢必成為一大資安問題。而即使醫療機構理解資安風險,卻未必可以投放相關資源。疫情下,醫院首要增加人手、採購呼吸機、PPE、COVID-19 試劑,但同時間,醫院要暫停主要收入來源的非緊急手術與門診,University of California at Davis 的醫生指,疫情下最艱巨的是資源分配決定。Reuters 報導紐約長老會教友決定順延所有非緊急手術,決定影響 10 間紐約區醫院。在緊絀資源下,前線比 IT 部門有資源優先權。 資安平台 SecurityScorecard 與 DarkOwl 聯合研調發現,疫情間黑客攻擊醫療機構的 Web Application、End Point 與 IP Address 分別有 16%、56% 與 117% 增幅,而圍繞 COVID-19 的攻擊極具效率。攻擊形式中,Ransomeware 大行其道,疫情期間於美國錄得 109% 增幅,亦有針對 COVID-19 疫苗策動的國家級黑客侵略。攻擊醫療機構的著名案例,要數 2019 年專門追討病患欠債的 American Medical…
持續創新一直是企業突圍而出的致勝條件,特別是在新冠疫情下各行各業均遭受打擊,前景亦陰霾滿佈,如只是消極地死守本業,估計將難以跨過疫境。早前 ICT 服務供應商中信國際電訊 CPC(以下簡稱 CPC)舉辦的研討會,就以「Leading Business Innovation in the New Normal Digital Era」為主題,邀請了多位企業客戶的IT精英,與現場觀眾分享其創新精神,以及善用科技達成轉型目標的經驗。 推出外賣自取平台 助業界解困 OpenRice 行政總裁 Joe Yau 指,OpenRice…
物聯網(Internet of Things, IoT)的保安漏洞一直為人詬病,經常傳出黑客借已連結物聯網的智能家電,入侵網絡,甚至在企業未為意間,打開其網絡安全缺口!但也不用太擔心,最近歐盟網絡資訊安全局(The European Union Agency for Cybersecurity, 下簡稱ENISA)推出 IoT 產品開發指引,供大家參考如何確保網絡安全。 由 ENISA 所定的指引 Guidelines for Securing the IoT –…
近日有傳中國受水災影響,部分地區出現糧食危機,政府亦帶頭呼籲民眾不要浪費食物。除了天災之外,人禍也會引發糧食短缺,例如以色列安全專家就發現,由Motorola設計的智能灌溉系統在設計上缺乏安全考慮,竟容許用戶以出廠登入資料長期使用系統,只要黑客有心,隨時可摧毁大量農作物,製造糧食危機! 為減少人力需求、降低成本,不少農場也會裝設智能灌溉系統,交由電腦自動執行灌溉、施肥、使用農藥等工作。可想而知,如未能及早發現系統損壞或運作異常,農作物的收成將會大受影響。而以色列安全公司Security Joes創辨人Ido Naor,就發現有超過100個Motorola ICC PRO智能灌溉系統的用戶,竟然未有為系統設定密碼,黑客只要使用Motorola預設的帳戶登入名稱如admin,即可遙距登入帳戶,修改智能灌溉系統的設定及執行異常灌溉指令,而且不會驚動Motorola及其用戶。Naor指出Motorola的ICC PRO雖然有安全保護,但由於未有強制用戶在安裝後更改帳戶登入資料,全靠客戶自律,結果情況就如許多IoT物聯網產品的用戶一樣,放任繼續使用原廠設定。 Naor說要找出這些系統並不困難,只要使用IoT裝置掃描器,就能輕易在網絡上搜出Motorola的ICC PRO。他已即時將研究報告通知以色列的網絡安全中心及Motorola,讓對方通知用戶盡快修改密碼,而Naor發現仍未修改密碼的用戶已減少至78個,不過由於研究已經公開,肯定會有黑客嘗試入侵這些用戶。 事實上,各國政府均意識到IoT產品的安全問題,並開始陸續規管生產商,例如美國於2020年1月1日生效的SB-327 Information Privacy:Connected Devices 條文,就限制生產商必須為每部產品設定獨一的出廠登入密碼,即使用戶未有更改,也不致被黑客以同一密碼大規模攻擊其他同廠產品。英國及澳洲政府亦有就IoT產品推出安全生製指引,但距離立法還有一段長時間,用戶現階段必須靠自己,例如定時更改帳戶登入資料、啟用2FA雙重因素驗證、持續更新官方發布的韌體更新等,雖然未必百分百安全,但也可減少大部分危機。 資料來源:https://zd.net/3kDpb9V
當家長趕潮流幫囝囡報 STEM 和 AI 課程,科技專家已經放風,下一個贏在起跑線的關鍵詞是量子電腦。臺灣大學 IBM 量子電腦中心主任張慶瑞按量子電腦科技發展趨勢,預測擁有處理龐大資料能力的量子電腦,大約會在 15 年後登場,到時對文明的衝擊,可媲美 Smart Phone 問世。張主任表示,現年 50 歲或以上的人,姑且可以不知量子電腦未來,不過 90 後同 Gen Z 就無得避。量子電腦開發方面,IBM 和…
2019 年,擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts,主動自首承認由 2014 年至 2018 年間,外洩 500 萬住客資料,當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料(即行蹤)、預約日期等,付款資料其實都有外洩,不過有 AES-128 加密。呢單嘢極度震撼,因為 Starwood 沒有交代外洩原因,好難令人唔懷疑同管理失誤有關。而呢件事入面,最無辜(亦係最 Juicy)可能係…
現代人出街一定帶手機,因為呢部多年嘅科技結晶實在太方便。而出街最常用嘅功能一定係開 map 搵路,着重私隱嘅人每次搵完路可能識得熄咗「定位服務」,但咁做真係夠? National Security Agency (NSA) 近日發佈了一份指南,指出智能手機、平板電腦、運動手機中的位置資訊對黑客嚟講其實非常有價值,可以揭露用家嘅生活方式﹑習慣同個人關係,從而推演出一個人嘅生活漏洞。更指出一大誤區,定位服務唔等於 GPS,單單熄手機上面嘅定位服務其實係唔夠㗎。手機被定位嘅來源嚟自好幾樣電波訊號,如果完全熄曬佢地,用家就比較難被追蹤。所以一定要做多幾樣野,多重保護,先至夠放心。 講左咁多,一齊睇下實質有咩可以做啦﹗ 關閉手機定位關閉 WiFi 同藍牙將 Apps 權限限制到最少將廣告權限限制到最少減少出街時上網,關閉本地數據使用 VPN 上網關閉 Find My Phone…
監控鏡頭、智能恆溫、指紋門鎖、節能控制、感應燈光⋯⋯物聯網(IoT)裝置喺大眾日常生活越發普及,而喺商業層面嘅應用就更廣泛,市場調查公司 Gartner 預測本年全球將有 58 億部 IoT 裝置接通互聯網,但亦因生產成本與欠缺嚴格安全守則指引,衍生無限網絡安全漏洞。防毒軟件供應商 Kaspersky 表示喺 2019 年首 6 個月中,錄得一億次針對 IoT 嘅攻擊,比去年同期飆升 9 倍,傳輸數據嘅安全設定係其中一個漏洞所在。針對呢一個環節,閃存記憶體生產商 Swissbit 早已推出附有加密程式嘅 SD…
無論疫情係咪已經緩和,好多國家已經開始頂唔順要解封;澳洲同 Buddy 新西蘭傾緊 Travel Bubble 嘅通關手續、IATA 研究國際復飛指引、香港機場領先全球引入全身消毒機等等,相信不久大家又會帶住 Labtop 出差,而 Evil Maid 亦有機會再度活躍。 Evil Maid 係專門形容個人電子設備喺無人看管情況下遭侵犯嘅手段,典型例子係明知打掃姐姐有匙卡,出街依然唔將 Laptop 放保險箱,認為 Password 唔係 12345678…