中港網絡安全協會（HKCNSA）今日於香港 The Ritz-Carlton 酒店舉行首屆「網絡安全論壇2024」，吸引眾多網絡安全業內人士參與，場面熱鬧。是次活動以「探索企業如何提升網絡安全韌性與數據私隱」為主題，邀請到各方專家作主題演講、論壇及解決方案展示，內容涵蓋數據私隱、AI、量子密碼及信創等關鍵議題，維護大灣區互聯互通數碼基建。 下半年將成立澳門分會 活動開始前，先由政府資訊科技總監辦公室副政府資訊科技總監黃敬文致歡迎辭，黃表示安全穩妥的網絡環境，對建設香港至關重要，特區政府會持續舉辦各類型活動，防範網絡攻擊，並鼓勵公私營機構分享相關資訊。 活動開始前，由政府資訊科技總監辦公室副政府資訊科技總監黃敬文（左）及中港網絡安全協會創會主席葉青陽致辭。 中港網絡安全協會創會主席葉青陽（David）感謝一眾嘉賓到場支持，又分享成立協會後，邀請了各地專家做交流，成為協會最受歡迎的活動，不少會員都希望可透過協會加深了解內地法規。David 又透露下半年將成立澳門分會，加強交流；並會繼續舉辦內地考察團、私隱數據課程及論壇等，希望提升香港的網絡安全，提高關注度。 （左起）中港網絡安全協會諮詢委員余法昌、香港警務處網絡安全及科技罪案調查科總警司林焯豪、個人資料私隱專員公署專員鍾麗玲、中港網絡安全協會創會主席葉青陽、政府資訊科技總監辦公室副政府資訊科技總監黃敬文、香港警務處東九龍總區指揮官羅越榮博士、中港網絡安全協會副會長鄧宏舜，共同為「網絡安全論壇 2024」主持開幕典禮。 「網絡安全論壇 2024」共邀請了 25 位頂級嘉賓演講，深入探討大灣區網絡安全的未來趨勢與挑戰，演講環節先由個人資料私隱專員公署專員鍾麗玲揭開序幕，她表示昨天政府提出全新法例保障關鍵基礎設施的電腦系統，笑言今天舉辦的論壇，可謂既具前瞻性又合時機。鍾引述國家安全有 20 個重點領域，明確列出數據安全及網絡安全是兩個關鍵領域，可見兩者在數碼年代重要性，而香港作為國際金融中心及創新科技樞紐，數據安全有序流通及使用，能推動特區政府近年積極發展的數字經濟。 數據安全當中亦包括個人資料，根據個人資料私隱公署數字，今年首 5 個月接獲…

人工智能（AI）時代來臨，不少企業開始進行數碼轉型，AI 應用日漸普及，與此同時衍生出不少私隱風險。為應對其對個人資料私隱帶來的挑戰，個人資料私隱專員公署發布《人工智能（AI）：個人資料保障模範框架》，並涵蓋 4 大範疇，提出建議措施。 想知最新科技新聞？立即免費訂閱！ 個人資料私隱專員鍾麗玲指，香港企業多透過生成式 AI 應用於聊天機械人，或文字辨識工具，但機構使用個人資料訓練 AI 時，未必有意識確保個人資料私隱安全。而《模範框架》參照了國際使用人工智能的常規，旨在協助機構在採購、實施及使用 AI 時遵從《個人資料（私隱）條例》，並有助規範相關行業，促進 AI 在香港的健康發展。 框架就以下四個範疇提出建議措施： 制定 AI 策略及管治架構：制定機構的 AI 策略及採購…

Google 最新發表一份報告，內容是回應近期美國政府因 Microsoft 執行網絡安全措施不足，導致 25 間政府機構電郵數據被盜事件，Google 更以「單一文化」（Monoculture）一詞批評政府，即只盲目採用 Microsoft 提供的網絡安全方案，而漠視其他網安同業有可能提供更優質的服務，以致令公共部門及市民陷入網安及資安風險。對「主角」Microsoft 來說，認真無面。 想知最新科技新聞？立即免費訂閱！ Microsoft 遭入侵事件仍未解決 Microsoft 去年遭受俄羅斯國家級黑客集團 Midnight Blizzard（又稱 APT 29）入侵事件，至今依然未能完全解決，早前美國網絡安全機構 CISA 已發出緊急行政指令，要求所有聯邦機構立即檢查有否相關入侵痕跡，網絡安全審查委員會（CSRB）亦強烈譴責…

在現今的數碼趨勢下，數據已成為每一家企業的基石，因此保護身分安全成為成功的必要策略關鍵。然而，根據 SailPoint《Horizons of Identity Security》報告，與其他地區相比，亞太區企業的身分安全成熟程度差異較大，高達 60% 企業的成熟程度仍處於最低水平。 儘管澳洲、日本和新加坡等國家已制定成熟的身分及數據安全框架，但區內其他國家或地區卻才剛開始意識到此監管法規的重要性。身分安全在業務當中所發揮的作用，遠遠超越僅遵守監管法規，實際上更是緩減風險、提高營運效率及達致業務成功的重要基礎。因此，企業領袖必須認清身分安全計劃的龐大優勢，如可有效降低風險及簡化營運。把身分管理融入核心業務策略中可使企業超越技術限制，讓其安全目標與整體業務目標保持一致。 想睇更多專家見解？立即免費訂閱！ 從傳統身分安全轉型 對於剛起步發展身分安全的企業而言，有些障礙的確需要克服，特別是固有的技術債挑戰。正如報告所顯示，許多處於較低成熟階段的企業均面對硬件、系統及程序過時的難題。這些傳統身分安全工具並非針對現代企業目前需求而設計，而且無法管理複雜的多雲端環境及員工和非員工等多種身分。若要向前發展，企業必須專注識別並有條不紊地更新或替換這些過時的系統。這個關鍵步驟包括投資現代化技術並重新配置 IT 基礎設施，以支援更先進、更複雜的身分安全解決方案。 獲取管理層支持 能否加強企業身分安全計劃也取決於管理層的支持。正如報告所強調，77% 身分和存取權管理決策者認為，有限的高級管理層支持是一大障礙。要獲得決策人員的支持，有效傳遞身分安全的價值尤其重要，並需要強調身分安全除屬技術保障外，亦是達致業務目標不可或缺的一部分，例如產品創新和以數據為本的市場營銷等。以身分安全配合這些業務優先目標，從而培養高級管理層的承諾，這一點是關鍵。此外，制定業務案例來逐步解決預算限制及人才短缺等挑戰，也非常重要。這些案例應重點突顯更強的身分安全如何促進企業生產力和創新、降低網路風險並推動業務成功。 善用先進功能的優勢 在建立強大的高級管理層支持後，企業便就緒利用人工智能和自動化等先進技術來完善身分安全框架。這類技術整合不但能擴展身分安全措施的規模，亦讓企業能夠快速應對新出現的威脅，並在現時變奏快速的數碼環境中保持靈活。舉個例子，與沒有人工智能支援的企業相比，採納自動化和人工智能身分管理平台的企業擴展身分相關功能的速度快達 37%。 該項報告又指出，此等技術的採納率有所不同，從…

領導中國網絡安全行業技術創新的供應商山石網科（Hillstone Networks），銳意深耕港澳，繼獲各界高度評價的下一代防火牆外，最新引進 4 大產品到港澳，並以港澳精英打造全新本地化團隊，與總代理、戰略合作夥伴攜手努力，以中國力量守護港澳數字安全。 信創對港澳地區至為重要 山石網科上周於 W Hotel 舉行《山石港澳客戶及合作夥伴峰會》，以「山石有信．共創未來」為主題，獲逾 200 名政府、科技行業及合作夥伴踴躍參加。峰會由山石網科董事長暨 CEO 羅東平的演講揭開序幕，暢談早於 2007 年創立的山石網科，技術穩定紮實，一直堅守「技術信仰者」的初心，至今業務已遍布 60 個國家及地區，擁有逾 28,000 個客戶，包羅政府、金融、教育、醫療、互聯網等各大行業。作為國家信息安全漏洞庫漏洞信息共享合作單位，山石網科多個產品更入選 Gartner®、Forrester…

數碼港去年中發生資料外洩事件，私隱專員公署發表調查報告，指數碼港欠缺足夠措施保障系統安全，以致去年兩度被黑客入侵及勒索，影響逾 1.3 萬人，當中有四成個人資料更已超過保留期限而未有刪除。公署認為事件涉及五大缺失，敦促數碼港糾正。 相關文章：【數碼港】8月中遭黑客入侵　逾400Gb資料網售235萬【數碼港被入侵】400GB數據暗網任睇　涉員工薪金履歷表 想知最新科技新聞？立即免費訂閱！ 經過 7 個月調查，公署表示事件共有 13,632 人受影響，包括近 8,000 名與僱傭有關人士，涉及 5,292 名求職者及已離職者資料。事件中外洩的個人資料除了姓名、身分證號碼、護照號碼、聯絡資料外，亦有部分人的財務資料、健康資料、照片、社交媒體帳戶資料等。 根據數碼港的資料保留政策列明，求職者資料只會保存一年，惟在外洩的個人資料中，卻發現有早於 2016 年求職者的資料，數碼港亦未能解釋保留資料原因。公署認為數碼港不必要地保留個人資料，令受影響人數增加。 公署又質疑，數碼港作為一間儲存大量個人資料的機構，事發時僅依賴一款反惡意軟件程式偵測異常活動，措施明顯不足及不成比例，以致未能有效偵測黑客以暴力攻擊其資訊系統。另外，事發時數碼港未有為遠端存取資料啟用多重認證功能，令黑客成功透過管理員帳戶進入網絡。 調查又發現，數碼港每兩年資訊系統作保安審計，事發前最近一次審計在 2021…

勒索軟件由面世至今，依然是企業最怕遇到的網絡攻擊之一，而且隨著勒索軟件集團攻擊策略的轉變，要在第一時間阻截其入侵，亦變得難上加難。有網絡安全分析師便指出，近來相關攻擊又有新趨勢，而要保障企業的數據安全性，加密技術可說是唯一出路。 一開始，勒索軟件攻擊以加密受害者的系統及數據為主，目的是導致對方的業務無法正常運作，然後黑客便會向對方索取解鎖贖金獲利。 想知最新科技新聞？立即免費訂閱！ 不過，隨著企業做好數據備份及恢復工作，肯交贖金的企業已買少見少。後來黑客便改變策略，在鎖死對方的系統及數據前，會先暗中盜取對方的機密檔案，一方面索取解鎖費，另一方面亦要求企業支付掩口費，否則便會將盜取的資料曝光，打擊對方的商譽，這種行之有效的方法，稱為雙重勒索（double extortion）。 勒索軟件集團棄鎖死系統及數據做法 有專家便發現，勒索軟件集團近來似乎有傾向放棄鎖死系統及數據的做法，單純靠索取掩口費獲利。專家解釋，因為勒索軟件集團發現前者的做法成效不大，而且又要投入成本去研發加密系統及檔案的技術，因此開始改變做法，最明顯的例子，是去年由勒索軟件集團 Cl0p 及 BlackCat/ALPHA 針對 MOVEit、GoAnywhere 檔案傳輸服務的客戶及 Western Digital 儲存設備供應商的事件中，兩個勒索軟件集團均只執行盜取數據，因而預計企業必須進一步加強數據的防盜能力。 數據加密後或不用向受影響者通報 專家指出，其中一種有效的做法是企業採用數據加密工具，將重要數據在處理及儲存期間，以高強度演算法加密，之後即使被勒索軟件集團入侵及盜取數據，對方亦無法讀取內容。 這種做法的好處，是受害企業未必需要因遭受入侵而要向受影響者通報，例如根據歐盟的 GDPR…

現今企業不論規模大小，都必需做好特權帳號管理（Privileged Access Management，PAM），以保護好敏感資源和數據安全。網絡安全公司 Green Radar 有見及此，推出 grKey 服務，以 PAM as-a-Service 方式供客戶訂閱，大大降低了各類企業實施 PAM 的入門門檻，最近在市場反應正面。 Green Radar 銷售執行副總裁馬偉雄（Kenneth）解釋，公司專注電郵安全業務多年，發覺不少企業在實施 PAM 上有所不足，甚至大企業都未必做到很好的保護，中小企則因人手或資源限制，未必有能力實施 PAM。 想知最新科技新聞？立即免費訂閱！…

2023 年又到尾聲，各大供應商開始預測 2024 年的科技趨勢。資料保護和勒索軟件恢復供應商 Veeam 認為，無論是企業從公共雲回歸基礎設施，還是即將持續增長即服務（as-a-Service）模式，「靈活性」都成為關鍵要素。 想知最新科技新聞？立即免費訂閱 ！ Veeam 亞太及日本地區首席技術官 Anthony Spiteri 指出，雲端近年被認為是企業減少 IT 成本的最佳解決方案，可減輕基礎設施的昂貴負擔。然而，對於並非以數碼優先的企業來說，雲端儲存成本會持續及迅速增加，令部分已遷移至雲端存儲的客戶，正積極探索更經濟、計算效能更高或符合數據主權要求的替代方案。 展望 2024 年，相信有企業會選擇將某些應用從公共雲中遷移出來，回歸私有的基礎設施，以重新控制其工作負載，減少對公共雲的依賴。 雲端對企業仍然至關重要，但數據靈活性將成為一個關鍵要素，讓企業能夠快速且具有成本效益地採用所需的替代方案。 在經濟不確定情況下，即服務模式將持續增長，由資本支出轉向營運支出，並注重於提供具靈活性和可擴展性的服務。…

近年人工智能（AI）技術發展蓬勃，各種應用服務如雨後春筍般湧現。不過，人工智能可說是一把兩刃劍，如落在黑客手上，便會帶來非常強大的破壞力。有見及此，中信國際電訊 CPC（以下簡稱 CPC）作為企業的 TechOps 信息安全賦能者，早前便舉辦了一場 CyberSecurity ReDEFINED 研討會，以人工智能重新定義信息安全為主題，邀請嘉賓分享人工智能攻防心得，讓業界及早為部署及提升整體防禦做好準備。 人工智能開拓企業商機 專才短缺引發安全風險 今次研討會的主題是重新定義信息安全，而當中人工智能技術更是不可或缺。經濟學人智庫總監 Edward Chui 指出，在過去的這一年，大家都親身感受到人工智能的快速發展，由以往相對簡單的應用如 Siri 智能助手、Netflix 的影片推薦功能，到過去一年的 ChatGPT 及各種生成式 AI…