網絡攻擊愈趨複雜及精密，加上銀行業又是公認的攻擊對象，面對如此高危的環境，香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative， CFI)，通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構（Cyber Resilience Assessment Framework， C-RAF）是一套以風險為基礎的評估框架，內裏的評估項目多達400多項，主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ，評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ；其次會通過審核現有的安全措施，包括監管、偵測機制、保護工具、危機管理及應對政策，以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求，銀行就要按照金管局建議的改善措施提升安全成熟度，直至合符相應的要求。如果金融業的固有風險達到中至高程度，就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…

2019 年，擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts，主動自首承認由 2014 年至 2018 年間，外洩 500 萬住客資料，當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料（即行蹤）、預約日期等，付款資料其實都有外洩，不過有 AES-128 加密。呢單嘢極度震撼，因為 Starwood 沒有交代外洩原因，好難令人唔懷疑同管理失誤有關。而呢件事入面，最無辜（亦係最 Juicy）可能係…

後疫情時代，無論是生活與工作都出現「新常態」(New Normal)，大部分企業工作負載轉移到網上進行，難免令公司網絡基建壓力倍增，相信不少中小企的管理層正為此大感頭痛，無法在成功與效益之間取得平衡。 其實目前市面上，已經有針對中小企網絡監察的解決方案，嘗試為用戶提供最佳的成本效益，支援可能持續的「疫後」居家工作環境。Progress 作爲美國上市企業，在去年藉收購 Ipswitch，獲得包括 MOVEit、WhatsUp Gold 與 WS_FTP 在內的三項技術，已經做足準備，爲香港中小企安全與網絡管理提供優質服務。 WhatsUp Gold：自動網絡管理 疫情之下，在家工作與 A/B 分組辦公室上班情況常見，企業對維持穩定網絡表現的需求激增，與此同時，企業還需要爲員工提供安全檔案分享平台，才能維持團隊有效協作。Progress 的 WhatsUp Gold 能爲企業精準找出網絡有問題的地方，監察不同組織的運作情況，再作效能與數據分析，避免業務因網絡問題而停頓。 WhatsUp…

分享FacebookTwitterWhatsAppEmailLinkedin 隨著遙距工作盛行，企業數據資料亦開始從內部部署轉向雲端。意味著企業必須將更多重要，甚至是敏感的資料帶到雲端，因此衍生新的保安難題：如果雲端數據的保安，全交由同一個雲端服務供應商管理，豈不是將個夾萬連同鎖匙交畀同一個看管？企業如何奪回保安主動權？如何確保雲端資料安全？ 是次講座邀請到 Imperva 及 Thales 兩大品牌的雲端保安專家，即場分享最新的雲端數據保安、加密、密鑰管理及監察技術，將數據保安的風險減至最低，確保企業符合法規要求。講座費用全免之餘，參加者更有機會贏取 $200 HKTV Mall 購物禮券。名額有限，報名從速。 主題：如何確保雲端資料安全？ 日期：2020年8月27日（四） 時間：11:00am – 12:00pm 語言： 廣東話 網上留位：https://bit.ly/3fTvzX5 唔想錯過熱門網絡保安消息，請即訂閱 wepro180 電子周報：https://bit.ly/2ZcCi9J

https://www.youtube.com/embed/0m4w1cO4CsM?wmode=transparent&rel=0&feature=oembed Container（容器）技術是近年 IT 業界的新寵，其輕量化、共用資源、快速部署等優勢，深得開發者歡心。Cloud Native Computing Foundation (“CNCF”) 今年發表的一份調查報告更顯示，在 2019 年已有 84% 業內人士已採用 Container 技術，比 2016 年的 23% 大增三倍有多。雖然是大勢所趨，不過企業或 IT…

關於數碼轉型（Digital Transformation），以往企業的態度始終較保守，認為大多只是引入新科技，斬件式提升工作效率，未算有太大迫切性。不過在新型冠狀病毒爆發下，疫情持續超預期，無論是零售、飲食、娛樂、物流等行業均遭受打擊。與其坐以待斃，有本地企業主動出擊，構思出創新業務並通過數碼轉型實行，不單止在疫境中開闢新路線，更積極為拓展業務鋪路，待環境好轉時能快速起飛。 雲服務供應商阿里雲（Alibaba Cloud）於本月底首次舉辦的網上客戶分享大會「APSARA CHAT Hong Kong 2020」，便專為本地企業而設，內容除了介紹科技趨勢及應用外，更重要是邀請了本地 8 間企業夥伴，從營商角度出發，分享其數碼轉型的成功故事： AQUMON 近年投資應用程式陸續推出，投資者更易參與環球證券市場，投資顧問服務的重要性相應提高。本地初創企業及機械人投資顧問公司 AQUMON，便借助阿里雲的雲計算、大數據、AI 等科技，分析各投資產品的風險，迅速為客戶制定個人化投資組合，贏得客戶的信任。 MyTV Super Limited 社交媒體的興起，大大改變了廣告業界的生態，媒體要吸引企業客戶賣廣告，便要協助客戶簡化及縮短廣告的製作。MyTV Super 便借助阿里雲的大數據及人工智能技術，推出智能設計師服務，讓客戶毋須花費昂貴的排版設計費用，也能自動化創作吸睛的廣告，同時縮短冗長的製作時間。…

以前中咗勒索軟件（Ransomware），衰到極最多都只係攞唔返啲資料，但自從勒索軟件轉咗新玩法，喺鎖死電腦檔案前會先偷走所有數據，一旦企業企硬唔俾錢，黑客就可以用公開資料嚟加強勒索力度，所以勒索軟件就唔再係攞唔返資料咁簡單，隨時觸犯私隱法之餘，亦會大大力打擊商譽，企業關公真係想兜都兜唔返㗎！ 勒索軟件之所以咁乞人憎，係因為採用嘅加密演算法好難破解，再加上好多時企業都無做好 backup，所以一旦內部檔案被加密，企業本身係無能力還原，應對方法之一係當成個系統被砍掉重練，否則就要乖乖被贖金，期望黑客有「良心」送返條解鎖 key 俾你。瀨得嘢多，唔少企業都學識 backup 嘅重要性，搞到黑客搵少好多，於是黑客自然識得變招，除咗會攻擊埋企業嘅儲存裝置或雲端備份，仲會喺發作前盡量將資料偷走，用嚟加強威脅性，就算唔肯俾解鎖費，都要受害企業俾掩口費刪除外洩資料，否則就會喺黑客自己營運嘅網站上公開機密資料，好多時都包括被害公司嘅財務檔案、客戶及員工私隱資料等等，好似之前我哋報導過嘅 Bossini 事件咁，就有大量商業機密同客戶資料網上見嘞。 正因為黑客轉咗玩法，所以有企業已提升咗勒索軟件攻擊嘅應變態度，唔再選擇收收埋埋，轉而當成資料外洩咁公開，一來有啲公司嘅客戶屬歐盟成員國國民，所以受 GDPR 法規約束要通報；二來由於黑客會事先披露，一定有傳媒查上門，如果企硬否認，只會惹來強烈抨擊，進一步損毁商譽，後果等同搬石頭砸自己隻腳，所以有理由相信會有愈來愈多企業企出嚟承認受到襲擊，香港同業亦應該盡快調整一下緊急應變措施喇。 資料來源：https://bit.ly/38MU7PX 相關文章：【大件事】Bossini、c!ty’super成為勒索軟件攻擊目標？

https://www.youtube.com/embed/CE8jQajpEbc?wmode=transparent&rel=0&feature=oembed 企業的數碼轉型（Digital Transformation）近來有加速之勢，除了因為新型冠狀病毒肆虐，企業需要即時為員工提供遙距工作模式之外，事實上，不少企業為了增強競爭力，在疫情前已開展數碼轉型旅程。Palo Alto Networks香港及澳門董事總經理馮志剛（Wickie）指出，雲端應用服務的多樣性、可擴充性及靈活性，都較傳統的數據中心優勝，所以雖然過往香港企業的數碼轉型步伐較歐美及亞太地區如澳洲等落後，但近兩年情況已有變，討論焦點已不再是採用與否，而是何時採用。「不僅新興的網上銷售服務推行Cloud First策略，就連傳統的金融業、公共事業及政府部門亦持相同看法。」 雲轉型陷阱處處安全策略不容忽視 雖然企業及機構均積極開展數碼轉型，採用不同的雲端技術或解決方案，不過，Wickie說不少管理者卻忽略了要採用相對應的網絡安全策略。「雲服務說穿了只是另一個數據中心，當中一樣牽涉網絡連線、儲存設備及伺服器，而在部署上享有簡單及快捷等優勢。既然同樣是數據中心，網絡安全考慮便理應跟傳統數據中心一樣，架構上可參考合規標準如 ISO27001、NIST、SOC2、CIS，個人私隱方面則可參考GDPR，電子支付則有PCI法規可循，以減低數碼轉型旅程出現漏洞的風險。」 數碼轉型的另一問題是，現時雲服務種類繁多，企業因各種原因，往往採用了不同供應商的解決方案，導致架構複雜，管理分散，數據傳輸透明度低，難以察覺漏洞所在。Wickie 強調現時仍有不少企業管理者誤以為雲服務供應商需為網絡安全負責，實情卻是對方只保障基礎架構安全，而客戶需為其應用程序、安全設定及數據儲存負責。「再加上有證據顯示黑客已採用自動化工具，不斷掃描網絡上的設備是否存在漏洞，一有發現即予以攻擊，所以網絡安全問題更是重中之重。」 一站式監控 數據透明易管理 要解決安全問題，首先便需有一個中央管理平台，Palo Alto Networks 的 Prisma Cloud 便應運而生。「Prisma Cloud 是一個雲原生的網絡安全平台，由設計至部署都針對雲端架構而開發，可以對應客戶的多雲架構，包括 AWS、Azure及其他雲供應商，以及不同的容器化（Container）技術，為客戶提供一個 single pane of glass 的管理介面。」而在照顧安全性之餘，網絡連接質素亦是重要因素，讓客戶可以有效率及安心地遙距工作，「Prisma Access 便是一個綜合管理方案，透過全球 130 個服務點，無論客戶身在何處，也可以享有高速及安全連接的服務承諾。」Wickie 說他們特別設有專門團隊，協助客戶計劃開展數碼轉型旅程外，更可透過與其他雲服務供應商組成的生態圈，為客戶推介最適合的解決方案組合，讓企業無後顧之憂，將注意力集中在開拓業務上。 Wickie 說 Prisma…

隨著落實粵港澳大灣區發展規劃綱要，連繫了11個重要發展的地方 (包括香港、澳門兩個特別行政區、廣州、深圳、珠海、佛山、惠州、東莞、中山、江門、肇慶九市) 規劃大灣區商圈，而香港更因地理優勢或國際化都會的美譽，與澳門、廣州、深圳成為大灣區發展的核心引擎四大中心城市。 各商城的電子商務發展步伐及需求都有所不同，港企要走進大灣區發展及開拓其業務，跨境數據穿梭往來是必然，亦使其曝露於網絡攻擊的機會大增；更會牽涉不同地方的法制，一不小心隨時會惹上法律責任。 各有各法　保障網絡安全 對於港企來說，業務經營的網絡安全主要受《個人（私隱）條例》及不同監管機構所規管，例如香港金融管理局或證監會。而國內或澳門都先後訂立當地的《網絡安全法》，對於在當地經營業務的企業，提出一系列的規管，包括安全框架、在地數據儲存、數據跨境流動、網絡安全審計等，這些規管與香港的存有差異，因此，無論是港商北上發展，或是國內企業來港拓展業務，都應先了解清楚當地的規管，避免「闖關」誤觸地雷招致損失。 網絡安全法對港企於大灣區商城發展絕對是一種保障，除了可增強通信網絡設施的安全可靠性，亦能提高數據資源保護的水平。現時網絡攻擊的手法日趨精密及複雜，各種類型的零日攻擊（Zero Day Attack）湧現，傳統的網絡安全防禦策略已無法應付；加上隨著大灣區的迅速發展，使網絡安全專才供不應求，更有進一步惡化的現象。加上不少企業為飲頭啖湯而加快了在大灣區商圈內的投資，而忽略了網絡安全，令黑客們更有機可乘。所以， 企業需要設置適合的網絡安全裝備，以應付多變的網絡攻擊。 最有效率的方法，莫過於委託熟悉當地法制的託管安全服務提供商（Managed Security Service Provider, MSSP）處理，不單可掌握更全面的威脅情報，為企業全方位監測網絡安全狀況，亦能確保符合不同地方的法例。不過，市面上有不少 MSSP 供應商，提供的服務看似一樣，其實內裏卻有很大的差異，如採用的科技、網絡安全專家的經驗和技術認可，企業需多加留意及比較，作出精明之選。 掌握攻防戰術 根據調查顯示，現時大灣區內每日約有 500…

監控鏡頭、智能恆溫、指紋門鎖、節能控制、感應燈光⋯⋯物聯網（IoT）裝置喺大眾日常生活越發普及，而喺商業層面嘅應用就更廣泛，市場調查公司 Gartner 預測本年全球將有 58 億部 IoT 裝置接通互聯網，但亦因生產成本與欠缺嚴格安全守則指引，衍生無限網絡安全漏洞。防毒軟件供應商 Kaspersky 表示喺 2019 年首 6 個月中，錄得一億次針對 IoT 嘅攻擊，比去年同期飆升 9 倍，傳輸數據嘅安全設定係其中一個漏洞所在。針對呢一個環節，閃存記憶體生產商 Swissbit 早已推出附有加密程式嘅 SD…