一般認爲黑客只會向大企業埋手，發動網絡攻擊以勒索更多金錢，但這觀念其實大錯特錯。事實上，不只大企業，中小企每日都會收到大量釣魚電郵，當中包括惡意連結及勒索程式附件，一不小心隨時中招。去年本港有調查報告顯示，逾七成中小企在過去十二個月曾發生網絡事故或遭受網絡攻擊，愈來愈多黑客瞄準中小企攻擊。另外，根據香港生產力促進局發布的「SSH香港企業網絡保安準備指數 」的分析，中小企業繼續維持在基本（Basic）評級，反映大部分中小企管理者仍未有足夠的安全意識，對有可能造成的損失掉以輕心。英國保險公司 Hiscox 早前發表的研究報告便指出，英國小企業一旦遭受攻擊，每宗事故平均造成約2.57萬英磅損失，包括用於交付贖金、修復數據或購置硬件等，可見中小企絕不可以輕視網絡安全問題。 捨難取易 黑客密食當三番 一旦受到黑客攻擊，中小企管理者第一時間普遍只會高呼不幸，慨嘆被「亂槍打中」。但想深一層，中小企真的沒有被攻擊的價值？答案肯定不是。首先，黑客傾向捨難取易，絕大部份的中小企都疏忽於網絡安全及缺乏備份的意識，就算有選購網絡安全工具，防禦力亦較為薄弱，自然很容易被攻破；更甚者公司內部的電腦及物聯網（Internet of Thing, IoT）裝置被侵略而變成殭屍網絡，被黑客利用去攻擊勒索贖款對象。其次，黑客們洞悉商業社會的生物鏈關係，大企業為節省成本，將工作外判中小型企業，所以只要攻陷規模較細的承包商，絕對可成為入侵大企業的跳板。種種原因，都會置中小企於危牆之上，大企業亦不能倖免。 的而且確，沒有採用適當的防護措施，會令企業在多方面都曝露出安全漏洞，例如電腦設備、物聯網裝置、POS 系統，以及現時流行的 BYOD（Bring your own device）工作模式等，簡單的防毒軟件或防火牆，未必足以應付黑客日新月異的攻擊。另外，看似簡單的 Wi-Fi 無線網絡，卻可能因設定出錯而出現缺口，讓黑客可輕易進入公司網絡作惡。 尤其近來外圍因素多變難測，不少企業讓員工在家或遙距工作以提高工作效率。但有可能面對遙距網絡連接的防禦不足問題，包括數據傳輸未有加密、電腦或手提設備防護不足，未能夠發現和阻隔黑客精密的網絡攻擊等。此外，員工有機會在缺乏足夠保護的無線網絡上工作或在未有以多重登入身份驗證或登入權限界定不夠仔細的情況下，假若公司內部沒有做好網絡間隔（Segmentation），都可令黑客乘機長驅直入。黑客除了借助勒索程式要求贖金、盜取公司機密和暗中利用殭屍裝備發動分散式阻斷攻擊（DDoS, Distributed Denial of…

金融科技（Fintech, Financial technology）行業發展蓬勃，透過靈活運用各種先進的科技，無論在提供更多元化的服務及提升工作效率上，較傳統金融行業更具優勢。金融科技公司若要突圍而出，除了要有不斷創新的意念及周全到位的服務，以提升客戶的體驗外，還須鞏固自身的網絡安全防禦力，才有望成為下一隻金融業的獨角獸。 發展優勢 燃起金融科技同業競爭 早前，阿里巴巴香港創業者基金與畢馬威（KMPG）合作¹，發佈香港首個創業發展指數調查報告，報告顯示金融科技屬現時香港最強勁的創新領域。同時，金管局及香港科技園亦在 2019 年 11 月初聯合啟動「金融科技合作平台」²，目的是協助及支持金融科技發展，加上香港的自由市場及低稅率的有利因素下，吸引外資公司來港創業。現時香港的金融科技公司約有 500 多間，而隨著銀行業進入開放應用程式介面（Open API, Application Programming Interface）第二階段，銀行將會開放更多如儲蓄、投資帳戶及貸款等產品內容，供金融科技公司開發新的應用服務，市場競爭隨即會愈趨激烈。 金融科技公司其中一個優勢是產品開發周期較快而有效率，擅於透過借助雲端科技應用，推出各種應用程式如電子支付、P2P 借貸等，好處是擴展具彈性，毋須花時間於公司內設立基建設施，減省人手及設備之成本。雖然雲端科技會為公司帶來很多好處和方便，但複雜的多雲架構亦會增加管理的難度及降低其可見度。由於每間雲端服務供應商有各自的管理工具，採用的數據格式亦不盡相同，要掌握整體劃一性及安全性，最好有統一管理平台及獲國際認證的網絡安全專家去監控和分析。以發展迅速的電子支付應用服務爲例，金融科技公司愈趨複雜的多雲架構在安全合規性方面，例如在訪問控制措施、維護網路安全性、保護帳戶人私隱等主要控制領域上，要確保是否符合 PCI-DSS 安全認證（The…

數碼轉型的好處，相信毋須特別多提；不過隨著愈來愈多企業將重要工作或數據轉移雲端，網絡安全的問題亦陸續浮面，例如難以把握的多雲(Multi-Cloud)架構、複雜的存取權限管理，特別是「影子 IT」」（Shadow IT）應用失控，每走一步似乎都可以引發難以預計的洩密風險。既要繼續移雲，但對網絡安全又有大量疑雲，應該如何自處？ 發展過快 監管困難 先來看看現時企業管理者面對的難題，愈趨複雜的多雲架構及存取權限問題都較易理解，但到底「影子IT」應用又是什麼一回事？它其實代表未經企業 IT 部門允許的應用軟件。根據最新發表的一份網絡安全調查顯示，企業管理者認為員工使用的雲端應用軟件數量為 452 種，但實際上卻是 1807 種，足足接近 4 倍之多，完全低估了實際使用情況，這些影子 IT 應用既然未被允許使用，企業 IT 部門所採購的網絡安全設備自然難以洞察及堵塞其漏洞，大大增加黑客潛入的門路。 除了雲端應用「失控」， BYOD（Bring…