一場疫症，令大部分香港企業被迫急著數碼轉型，同時黑客亦覷準機會，大舉進攻港企網絡，當中不乏巨型企業中招，暴露了潛藏已久的企業網絡安全意識嚴重不足問題。PwC 網絡安全及私隱保護服務合夥人及 Dark Lab 創辦人顏國定透露，香港近期的網絡攻擊事件大幅上升約十倍。他分析情況指，港企的資安水平落後世界先進地方最少 5 年，主因沿於長久以來，香港社會針對網絡攻擊事件的透明度不足，造成企業以至大眾對網絡安全失去危機感。他認為，現時的監管機制只靠企業自願性披露，情況恐難改善。 香港網絡攻擊升十倍　勒索攻擊明顯進化 顏國定表示，在疫症爆發之前，經他團隊處理的本地網絡攻擊事故，一年平均約四十多宗。但疫症爆發至今，處理事故宗數大幅上升至幾乎一日一至兩宗，按此比例計算，升幅達十倍，而且黑客的攻擊手段亦越見高明。顏以勒索攻擊為例，以往黑客成功駭進企業系統，會短時間引爆病毒，癱瘓並鎖死企業系統，然後直接要求企業支付贖金，攻擊是一次性的。現在，黑客會先潛伏企業系統內一段時間（以香港情況，潛伏期大概一個月），期間黑客會偷偷在系統裝上電腦病毒及後門程式，並且盡量搜集企業的機密資料及客戶資料，之後等待適當時機，黑客就會「唧牙膏」式地攻擊，例如突然在社交媒體把企業的機密資料到處洩漏，並要求企業支付贖金；如果企業拒絕，黑客就會在對方疲於尋找解決方法時，再突然洩漏更多資料，甚至鎖死企業系統。這種持續性的攻擊，比起舊有模式，對企業造成更大恐慌和困擾，因為企業無法得知還有幾多機密資料和客戶私隱會被突然洩漏，相對地受害人就會更容易支付贖金。 長期認知不足　港企資安水平落後 顏國定亦指出，雖然香港企業在近期的數碼轉型風潮下，確實增加投放資源在網絡安全之上，但卻流於「買最貴的系統，但買回來後，從不善用」的層次，令到保安系統即使升級，仍未能發揮應有作用，有些大公司甚至連最基本的 MFA (多重認證）都未有實施。顏形容，港企的網絡安全水平落後世界先進國家五年，主要原因是社會對網絡安全意識長期不足，由市民大眾到公司企業，都不知道網絡攻擊的嚴重性，「連 MFA 這些低成本又有效的保安措施都嫌麻煩」。由於缺乏意識，因此由資訊安全的人材培訓，以至保安系統升級，都被長期忽視，結果現在急於數碼轉型的情況下，企業網絡保安錯漏百出，淪為黑客攻擊目標，「黑客其實都是漁翁撒網式在世界各地找獵物，所以哪裏防禦措施薄弱，哪裏就會成為黑客的天堂。」 監管靠自願披露　透明度不足恐難改善 針對社會整體對網絡安全意低下問題，顏國定認為，核心在於網絡攻擊事故的「披露（Disclosure）」不足，「香港現時的資安教育，很多時候是要求市民大眾『自己小心啲』，但人性在缺乏危機感下，必然會粗心大意。因此最有效的教育是增加危機感。」顏解釋，香港現時主要靠《個人資料（私隱）條例》要求企業自願性披露網絡攻擊事故，但由於欠缺約束力，企業為保聲譽，都會盡量低調處理，結果網絡攻擊事故鮮被曝光，社會大眾一直誤以為「風平浪靜」，自然不懂得去重視問題。他建議，政府可以借鏡先進國家，立法要求企業必須主動披露網絡攻擊事故，並為企業網絡安全措施要求，訂立清晰標準，以有效提高資訊透明度。「只有建立在有力的法律基礎上，企業才有不能迴避的責任，去披露資安問題的實際情況。當資訊的透明度有所提高，公眾認清事實，大家才會從日常生活中感受到網絡攻擊的嚴重性。於這樣的社會氣氛下，我們才能談得上以教育提高大眾以至企業的網絡安全意識。」

遙距工作意味著員工需用自己的網絡處理文件，脫離公司的防火牆或網絡安全系統，存在不能計算風險。但為了下屬的健康減少聚集，公司不得不准許員工在家工作。網絡安全服務供應商Netwrix進行調查，發現有85%受訪資安主管承認，為實施Work From Home有放棄網絡安全措施。在公司內部文件安全脫離掌握的情況下，相信不少高層大為頭痕。 調查亦發現，有四分一企業認為在疫情爆發期間，公司運作暴露在危險當中，這裏當中有63%企業指這段期間的網絡攻擊次數有增加，60%企業發現在遙距工作期間，有新的網絡安全漏洞。 一項在6月進行、訪問超過900名IT業界的專業人士的調查，發現最常見的安全威脅，多屬於人為因素，其中48%屬釣魚攻擊，27%為行政失誤，亦有26%是員工分享資訊不合規。同時，有四分一人表示，在疫症爆發的首三個月，遭受勒索軟件或惡意軟件的侵擾，反映網絡安全在這段時間切實受到影響。而供應鏈相關的漏洞情況似乎更嚴重，有超過一半人指需時數天甚至一整個月才能標記出相關事件，呼應了資安主管們的放寬網絡安全措施的結果。 Netwrix行政總裁 Steve Dickson 表示，疫情令很多公司除了將業務由辦公室轉換成在家工作之外，企業亦將服務置於網絡安全之上。他提醒，在大家都適應這個新常態的情況下，IT主管應重新檢視他們對資安措施的決定，以縮減安全漏洞，包括識別敏感資訊，並減少其曝光情況，提高對用戶活動的可見程度等，以確保快速發現網絡安全事故。 資料來源：https://bit.ly/3cCdmO5

DevOps 的技術令應用程式快速更新，在追求速度與時間的同時，由於所經的安全測試次數減少，漏洞亦隨之而然增多，所以揀選合適的容器 (Container) 管理平台由其重要。但由於 Container 為新興技術，很多傳統的網絡安全措施難以應用，例如 Container Image Vulnerability Scanning、Run Time Defense 及 Container Firewall with DPI/DLP 等等。因此，你需要的是 Container Security…

無可否認，企業嘅網絡安全措施做得好，的確可以有效阻截黑客攻擊，不過，黑客亦唔會咁傻仔咁固執，攻你唔入，咪向你嘅第三方供應商落手囉！ 講緊嘅係飛機製造商 Airbus，法新社（AFP）最新報導，兩間有份參與調查嘅網絡安全公司，透露 Airbus 喺最近一年內曾遭受四次大型攻擊，其中兩次係針對佢哋嘅引擎供應商 Rolls-Royce 及 Assystem 嘅子公司 Expleo。法新社引述專家嘅意見，佢哋話雖然 Airbus 有使用 VPN 嚟分隔內部網絡，但佢哋有時亦會允許第三方供應商入嚟做嘢，所以黑客只要能成功攻擊第三方供應商，就可以作為跳板攻入 Airbus。而根據專家嘅調查顯示，黑客進入 Airbus 網絡嘅目的，主要係針對佢哋嘅引擎科技，包括軍用機 A400M 、A350 客機，以及用嚟控制飛機各感應器嘅系統，盜取技術多過想偷個人私隱。…

上次邀請了網絡安全保險專家盧子頴，講解這類保險的保障範圍，以及哪一類企業應該盡快考慮投保。不過，原來並非想買就可以買到，因為保險公司會先評估投保人有沒有做足安全措施，除了影響投保成功投保率，更會左右保費。 三大因素影響投保 網絡安全保險供應商智咨詢集團執行董事盧子頴指出，雖然遇到的個案不多，但間中也會有投保人以為只要有錢就可投保，但其實保險公司也需要核保，評估投保人受到網絡攻擊的風險。「如果店鋪連門鎖也沒有，試問怎會有保險公司受保？」他指出保險公司首先會檢查企業現有的網絡安全措施，例如有沒有裝設防火牆、防毒軟件、登入權限管理、升級硬件及軟件韌體的政策、個人私隱保管政策、遙距登入管制等等，「如果企業完全沒有做，保險公司會建議對方先做好基本的網絡安全措施，之後才考慮投保，因為即使轉投其他保險公司，相信也不會成功。」盧子頴補充說，其實投保不能賺錢，只能減少損失，所以如果站在預防被攻擊的立場，企業都應先做好防禦工作。 除了檢查安全措施，盧子頴表示保險公司還會考慮企業的業務性質，如屬於高風險行業，例如涉及加密貨幣交易，又或處理的個人私隱數據太多，就並非所有保險公司就會受保。另外，一些規模較細的保險公司，如投保企業每年的生意額太高，也可能因為承受不到風險而無法接單，這些因素就與投保企業無關。 上述的考慮因素，不單只會左右投保成功率，同時也會影響保費，「因為全部同風險有關，簡單來說，風險愈高的生意，保險公司收取的保費就會愈高。」盧子頴解釋跟傳統保險服務一樣，保費高低還要因應保額、墊底費及保障內容計算，如前文提及的增值保障如勒索贖金、外判商失誤等，便會提高投保費用。記者問如企業內擁有考獲 CISSP、CEH 等證書的網絡安全專家，安全度理應較高，是否可成為減保費的因素？他說理論上是，但同時間代表企業的業務複雜性較高，而且亦可能有較多監管要求，所以保費最終也要視乎實際情況而定。 「雖然保險費用很難有參考價格，但視乎選購的保險計劃，保費可低至每年五六千元。」盧子頴建議企業管理者不用想得太多，如認為業務受到攻擊的風險頗高，應邀請保險公司進行評估，之後再考慮是否購買也不遲。

雲端應用雖然已大行其道，不過，不少企業管理者仍然無法信任其安全性。最近一份針對亞太地區企業進行的安全調查報告《Data Security APAC 2019》顯示，發展成熟的企業當中，只得 27% 認為公共雲（Public Cloud）有足夠的網絡安全功能。而整個亞洲區的企業中，有 73% 受訪者認為資料外洩是無可避免，這可能跟超過 75% 企業管理者未能了解如何可安全保護業務有關。 增加攻擊難度 企業要提升公共雲的防禦力，可從設定嚴緊的登入措施及加密數據著手。首先企業管理者要釐清各員工的登入權限，可有效阻止未獲授權的員工接觸重要的文件或作業；不過，如登入帳戶資料被盜取，黑客一樣可以登入雲端應用竊取資料，所以企業亦應考慮採用多重因素認證（Multi-Factor Authentication）機制，例如以 USB、藍牙硬體鎖作為 Security key，員工登入帳戶時必須持有這硬體鎖，這樣即使登入名稱及密碼外洩，黑客亦無法登入帳戶，減少公司機密資料被盜取的風險。 另一方面，雖然公共雲供應商有提供網絡安全措施，但客戶並不能單純依靠對方的防護，因為客戶本身存有分擔責任（shared responsibility），必須採取足夠的手段去保護儲存在雲端的資料，否則亦難以追討賠償。而要確保數據安全，最好便是選用加密技術，例如 tokenisation 或 cyptographic 等工具，將數據亂碼化或以金鑰作保護，即使數據被盜用，或於轉送中褒被攔截，黑客亦難以破解及還原數據的內容。 雖然 MFA 或 Tokenisation 都是非常有效的保護公共雲手段，但在今次調查報告中，企業的採用率都不高，前者少於 50%，後者更少於 20%。隨著全球各地陸續立法管制數據安全，資料外洩已不單只會影響商譽，更有可能為企業帶來災難性的金錢賠償，要避免企業營運陷入困境，由今日開始，就要立即採取措施，守好雲端上的數據。 （article sponsored by Edvance)

勒索軟件事故頻頻，而且愈來愈大鑊，只計美國就有多個市政府、大學、醫院遭殃。最近南非第一大城市約翰內斯堡嘅電力公司 City Power 亦遭受攻擊，網絡系統、資料庫、應用程式全數被打包，更有部分用戶要忍受停電近 12 小時，非常濕滯。 City Power 透過 Twitter 公告，公司遭受勒索軟件攻擊，資料庫、應用程式及網絡系統均被加密，ICT 部門正在清除惡意程式及重啟所有受影響嘅應用程式。而受到今次攻撃影響，City Power 客戶無法透過預繳系統進行交易。雖然發電廠已經緊急調派人力維修，不過連系統都唔 work，所以維修進度大受影響。 最慘嘅係，出事之日，正正係南非大多數打工仔嘅出糧日，好多人都要趁出糧日去買下個月嘅用電，部分用戶被迫停電近 12 小時，而依家正值南半球嘅冬季，夜晚得攝氏幾度，真真正正叫雪上加霜。 據報導，現時 City…