香港《個人資料(私隱)條例》早於 1996 年生效,是亞洲首個全面保障市民私隱的條例,我們,曾經很先進。「但那是二十年多前的事。其他後來者如日本、新加坡則與時並進,不斷修訂,而香港就原地踏步,猶如在用二十年前的電話,很落後。」莫乃光從事資訊科技及電訊業二十多年,見證業界發展,作為立法會議員, 開口埋口都是政策。「政府要改變做事方法,要知道今日的網絡世界如何,要更新政策,拖延下去絕非香港之福。」 香港,未 ready 「香港現在面對的網絡安全問題,基本上與全世界都一樣,其實重點是應對的準備是否足夠,而我覺得香港未足夠。」莫乃光所講的準備,是預防事故發生、準備程度、警力、法例、罰則等。「單是政策及法例,已經有很多需要改善的地方。現在很混亂,例如政府可以用那條法例檢控網絡入侵呢?《電訊條例》用過一兩次,檢控不法偷用電視機頂盒訊號;《截取通訊及監察條例》呢?只能用於本地執法部門,不適用於其他罪犯。再問下去,『不誠實取用電腦』又範圍太闊,實際拘捕最多的可能是偷拍裙底的罪犯。」莫乃光指出,香港現行法例並沒有一條具針對性。檢控方面未完善,至於阻嚇及預防方面,亦有不足。 條例修訂困難重重 私隱條例訂立至今未有大改,原地踏步,尤其對照歐盟 GDPR 更見分野。「GDPR 對個人資料有新定義,香港的定義仍然沿用二十年前的;GDPR 罰則嚴厲,可達公司全年收入的 4%,具阻嚇作用。另外,香港私隱專員的權力、檢控權都很薄弱,都必須檢討。」可喜的是自從國泰等事故之後,政府承諾會在第一季檢討相關政策,研究修訂條例。「不過,過程亦困難重重,凡是會提高成本的條例,商界很多時就本能地反對。而似乎政府害怕商界的反對聲音,多於緊張對市民或消費者的保護。」以往不少條例如商品說明、競爭法等的推動都停滯不前,比其他地方明顯特別落後,是有其原因的。 莫乃光,資訊科技界立法會議員。 政府要支援企業 莫乃光認為政府應該做的另一樣事情,是對企業的支援。「政府投放於創科的金額可以過千億,但沒有任何資助用在網絡安全上。中小企雖然可以申請科技劵,但資助用於改善系統以增強競爭力,就沒有資源做好網絡保安,所以政府應該開出特定的金額,幫助他們做好網絡保安的工作。」莫乃光對政府的評價也並非全盤負面,對警察的執法能力就相當肯定。 支持警方擴軍,籲增透明度 「我覺得警方具備了足夠的能力應對網絡罪案,警方特別擴充部門,成立網絡安全及科技罪案調查科,人手亦每年遞增,我絕對支持。」近年網絡罪案數字不斷上升,加強警力非常合理。「我相信罪犯都明白,今時今日在網上犯案搵錢很容易,風險亦較低。唔通仲揸支槍去打劫?」莫乃光認為唯一的不足,是部門的透明度很低。「其實我沒有足夠資料去討論細節,因為透明度很低。我認為警方可以多與業界及專家交流,讓大眾對警方更有信心。」 網絡安全立法有其利弊…
Search Results: 網絡安全 (1150)
大量安全監控只得到一大堆 alerts 傳統 IT Security 防護的處理方法,主要偏重在事前的預防。從近年發生的各式安全事故來看,企業也逐漸意識到,光是事前的預防,已經不足以阻擋各式各樣的網絡安全威脅。即使企業投放大量資源去設立不同形式的安全監控, 往往只得到一大堆 security alerts, 不但數量繁多,alert 的內容也不易理解和處理。 若不幸碰到事故,要找出根源(包括:還原攻擊事件的原貌,以及對事故的調查與分析),往往需要高度專業人才來處理。在整個行業都缺乏IT Security人才的情況之下,實在令企業頭痛。 新型服務 — MDR 因此,近年冒起了新型的安全防禦服務,稱為 MDR (Managed Detection…
自「防火牆」面世至今的過去二十幾年裡,為了面對不同的網絡安全挑戰,市場也湧現很多不同的安全產品。有點像兵捉賊遊戲一樣,企業不停地修補漏洞,亦不斷地添置安全設備去加強防禦和監控。就算是大型企業,要投放大量資源去做好網絡安全,都會有點吃力。 安全服務供應商差異大 所以近年市場也興起把安全工作委託或外判給安全服務供應商,對於一些企業來說,也是一個選擇,但如何挑選合適的服務供應商仍是一個難題。首先,市場充斥著很多安全服務供應商(MSSP,Managed Security Service Provider),有本地 MSSP,也有外地 MSSP,其服務內容也林林總總,更有不同的 Service Level,價格也有很大差異。要認識清楚服務內容,實在不容易。再加上大部份 MSSP 所提供的服務範圍也處於前期階段,其質量和穩定性還需要時間來印證。 買車轉為 Call 車 由「產品」轉為「服務」是一個過程,也可以說是開闢了另外一個新市場。就如我們買車一樣:汽車是產品,汽車購買屬於一個市場,但需要接送服務的人,可以選擇 Call 車(像的士或 Uber)。用 Uber…
網絡安全巨頭 Palo Alto Networks 宣布,以約 250 億美元正式收購以色列身分安全領導廠商 CyberArk。這是 Palo Alto Networks 有史以來最大宗收購。同時,這也標誌著 Palo Alto Networks 正式進軍身分安全(Identity Security)領域,全面為 AI 時代的數據安全需求鋪路。 想知最新科技新聞?立即免費訂閱!…
科技企業微軟(Microsoft)旗下軟件 SharePoint 遭受大規模網絡攻擊,事件目前波及全球逾 400 間機構,包括美國能源部、歐洲及中東國家政府機構,以及國際企業,牽連甚廣。Akamai Technologies 表示根據其最新研究,黑客正結合並大規模利用兩個嚴重漏洞,這種鏈式攻擊讓黑客能完全控制 SharePoint 伺服器,甚至進一步橫向移動至內部網路、竊取敏感資訊;部分攻擊甚至出現模組化行為,組織嚴密。 微軟緊急推出部分更新 SharePoint 應用於文件共享和內部協作,一向獲企業廣泛使用。美國網絡安全暨基礎設施安全局(CISA)指,該安全漏洞可提供未經身分驗證的系統存取,以及對 SharePoint 內容的完全存取權限,換言之,黑客入侵 SharePoint 後,可以存取系統內所有文件。 微軟隨即針對 SharePoint 其中兩個版本,緊急推出兩款軟件更新,惟 2016…
美國國家核安全局(NNSA,National Nuclear Security Administration)證實,其內部網絡因近期曝光的 Microsoft SharePoint 零時差漏洞而遭到入侵。值得關注的是,這場波及範圍極廣的網絡安全事件,不僅影響美國能源部與教育部,亦波及美國多州政府部門,更有歐洲及中東國家政府機構、國際企業在內,累計受害機構已突破 400 間。 想知最新科技新聞?立即免費訂閱! 美能源部稱只牽涉極少數系統 根據美國能源部發言人說法,攻擊始於 7 月 18 日,黑客利用微軟 SharePoint 平台的全新零日漏洞鏈(ToolShell 漏洞組合)發動攻勢,成功突破包括 NNSA…
數碼化時代釣魚攻擊手法正不斷演進,Check Point 旗下威脅情報部門 Check Point Research(CPR)發布《2025 年第二季品牌釣魚報告》,揭示網絡犯罪分子在釣魚攻擊中最常冒充的品牌,以盜取使用者個人及電子支付資料。其中 Microsoft 仍居首位,其次是 Google、Apple;值得留意的是第四名的 Spotify,是自 2019 年第四季以來重回前 10 位。 想知最新科技新聞?立即免費訂閱! Check Point 香港及澳門區總經理周秀雲表示,網絡犯罪份子持續利用消費者對知名品牌的信任進行釣魚攻擊。隨着 Spotify 再度成為最常被冒充的品牌之一,加上旅遊相關的詐騙案件,因暑假旅遊旺季來臨而激增,證明網絡釣魚攻擊正緊隨着消費者的行為模式和季節趨勢不斷演化。因此提升公眾意識、加強教育、設置安全防護機制等工作至關重要。 2025…
科技企業微軟(Microsoft)發出警告,指旗下軟件 SharePoint,遭受到大規模網絡攻擊。據估計,事件恐令全球最少 100 間企業遭到黑客入侵,導致資料外洩。微軟緊急發布更新,修復資訊安全漏洞。 想知最新科技新聞?立即免費訂閱! SharePoint 是由微軟開發的企業檔案管理工具,被廣泛應用於文件共享和內部協作。微軟日前指出,SharePoint 出現安全漏洞,有黑客藉機展開網絡攻擊。路透社則表示,黑客利用 SharePoint 未被披露的漏洞,實施「零日攻擊」滲透伺服器。 美國網絡安全暨基礎設施安全局(CISA)的聲明指,該漏洞可提供未經身分驗證的系統存取和對 SharePoint 內容的完全存取權限,黑客入侵 SharePoint 後,可以存取系統內所有文件,不排除有大量企業或機構、甚至政府部門資料外洩,當局仍在評估事件實際影響。 微軟於當地周日晚上,緊急推出兩款軟件更新,針對 SharePoint 其中兩個版本,但 2016 年或之前推出的版本,則仍未能修復安全漏洞。美國聯邦調查局指已得悉事件,正與各方合作調查。…
AI 發展一日千里,攻擊手法更先進複雜。為更快速應對 AI 驅動攻擊,同時具備主動防禦以及快速反應能力,網絡安全供應商 Palo Alto Networks 推出 Cortex XSIAM 3.0,將 SecOps 能力擴展到雲端環境,透過 AI 與自動化技術,結合新推出的 Cortex Exposure Management 與 Advanced…
美國 CISA 安全機構近日發佈了一份技術報告,披露美國鐵路火車系統的一個嚴重安全漏洞,有可能被黑客利用來干擾列車制動系統,不僅可能導致鐵路運營中斷,甚至威脅到乘客及貨物的安全 ,最離奇是漏洞早在 20 年前被舉報,而且至少三次,莫非要等到出事才補救? 想知最新科技新聞?立即免費訂閱! 500 美元設備即可發動攻擊 編號為 CVE-2025-1727 的安全漏洞涉及火車系統中的「車尾與車頭」通信協議,該協議負責連接位於火車尾的「車尾設備」(End-of-Train,簡稱 EoT)與火車頭的「車頭設備」(Head-of-Train,簡稱HoT)。 EoT 主要功能是向火車頭傳輸火車尾的狀態數據,並在需要時接收指令啟動尾部的制動系統。CISA 的報告指出,該協議因缺乏任何身份驗證或加密機制,導致黑客可利用軟件發送特製數據包,直接對車尾設備發出制動指令,煞停列車,最嚴重更可引發出軌,癱瘓鐵路網絡。要實行攻擊,專家指一名熟悉系統及協定的黑客,只要一部 500 美元的設備,便可以輕易攔截並模仿合法的控制指令。 研究員曾三次舉報漏洞 CISA…