作為本港第一條網絡安全法例，《保護關鍵基礎設施（電腦系統）條例草案》（下稱條例）如箭在弦。在這條例下，關鍵基礎設施營運者到底有何需注意？有何權利和責任？會否誤墮法網？本地解決方案分銷商 Edvance Technology（下稱 edvance）牽頭舉辦「Cybersecurity Lunch & Learn」活動，邀請法律及 IT 界專家齊齊教路，獲半百客戶踴躍支持。 分享環節由來自 A&O Shearman 律師事務所的執業律師 Anna Gamvros 打響頭炮。Anna 為客戶提供資料保護及網絡安全方面諮詢服務超過 20 年，資歷豐富，她指出條例所針對的是系統的安全而非個人資料，與《個人資料（私隱）條例》不同，對於不少公司的內部團隊來說，條例可算是相當陌生。 不同意成…

現今企業需要做到快速部署，同時提升資料防護能力，應對勒索病毒攻擊、資料洩漏，以及業務中斷風險。Synology 群暉科技針對香港企業資料保護市場，推出 ActiveProtect 備份專用一體機，協助企業做到以上目標。另外，隨著世界備份日（3 月 31 日）臨近，Synology 也呼籲中型至大型企業要更積極防範資料損失、洩漏和勒索病毒的事件發生。 Synology 獲全球逾半數《財富》500 強企業信賴，管理超過 520 EB（艾位元組）數據，覆蓋 1,300 萬部伺服器，並累積保護超過 2,500 萬個工作負載。 港企資料安全形勢嚴峻 2024 年，香港不少企業頻繁遭受網絡攻擊，導致大量個人資料外洩，當中有非牟利機構遭遇黑客攻擊，引致大量數據被盜取，受影響的個人資料更以數十萬計。同年，亦有私營機構遭勒索軟件入侵，導致大量客戶及內部員工資料資料遭到洩漏。這些事件突顯企業需建立完善的資料備份與防護機制，以防範網絡威脅。…

香港網絡安全事故協調中心（HKCERT）早前公布，網絡釣魚佔 2024 年全年處理的保安事故總宗數逾六成，情況為五年來最嚴重，而去年惡意軟件數量亦顯著上升，當中大部分更屬於引誘用戶安裝的木馬程式。對企業來說，以上發現反映出端點漏洞仍是黑客偏愛利用的一大保安弱點。致力協助機構推行數碼轉型的 HCLSoftware 就此提醒本港企業，端點安全固然要重視，但數字經濟的急速發展亦令端點類型與數目激增，為企業的 IT 團隊帶來額外沉重的支援和管理壓力。因此，企業引進一個可以跨平台監察、管理和保護各式端點的一站式解決方案實在刻不容緩。 綜合管理提升效率保障安全 端點泛指連接到電腦網絡並與其交換數據的實體裝置，除了管理層一般認知的流動裝置、桌上型電腦，其實還包括伺服器，甚至銷售點（POS）系統、數碼顯示屏以及各種物聯網（IoT）設備。若 IT 團隊沒有自動化解決方案的協助，需用人手逐一為這些端點進行風險審查和緩解漏洞，費時失事之餘更會令黑客有機可乘。 事實上，由港府「數字政策辦公室」制定的《資訊科技保安指引》（G3）不僅要求政府各決策局或部門在所有伺服器、工作站和流動裝置中部署「端點偵測與回應」解決方案，更已規定各決策局或部門採用風險為本的方法，以「一致及有效的方式」為 IT 系統識別保安風險，訂定應對風險的緩急次序和應對有關風險。換言之，要貫徹風險為本的安全策略，自動化端點管理的常規程序便應結合掃描識別、評估、追蹤和緩解漏洞（包括修補程式管理程序以安裝必要的更新，限定授權軟件安裝，以及調整己置設定）等程序，以確保任何新洞在被利用前得以及時識別和修復，達到增強整體 IT 基礎設施安全勢態的目標。 HCLSoftware 大中華區總經理 Terry Leung…

近年本港持續面對層出不窮的保安事故，當中以「網絡釣魚攻擊」最受公眾關注。網絡安全解決方案供應商 Sophos 研究調查指，有黑客利用 SVG 檔案格式，繞過系統的反釣魚軟件功能，市民不得不防。 想知最新科技新聞？立即免費訂閱！ 香港網絡安全事故協調中心（HKCERT）在過去一年間，發現與網絡釣魚相關的連結超過 48,000 條，整體狀況遠較去年多出 1.5 倍，而銀行、金融及電子支付行業更成為重災區。Sophos X-Ops 團隊近日發布最新研究，揭示網絡釣魚攻擊的手法正持續演變並日益猖獗。黑客開始利用可縮放向量圖像檔案（SVG 檔案），以繞過系統針對釣魚攻擊和垃圾郵件的防護和過濾系統。 攻擊高度客製化 SVG 檔案與可擴展標記語言（XML）的格式相似，而兩者均可用於繪製圖片，所以不法分子看準機會散播釣魚攻擊。Sophos X-Ops 團隊發現自去年底起，釣魚詐騙集團開始以向受害人發送附有惡意 SVG…

網絡安全解決方案公司 Check Point 發現針對 Facebook 用戶的精密網絡釣魚攻擊，網絡犯罪分子透過假冒侵權警告，將受害者引導至一個偽造的支援網頁頁面，從而竊取用戶登錄憑證及敏感資料。該攻擊自 2024 年 12 月 20 日起發動，已影響來自歐盟、美國及澳洲超過 12,000 個電郵地址。 想知最新科技新聞？立即免費訂閱！ 根據 Statista 的數據顯示，Facebook 是全球最受歡迎的社交網絡平台，其覆蓋範圍及活躍用戶數量遠超其他競爭對手。而根據 Sprout Social 的報告，Facebook 是繼 Google 和 YouTube 之後，擁有全球第三大訪問量的網站。當網絡釣魚攻擊惡意利用 Facebook…

有 Google 內部人士透露，Google 正計劃淘汰 Gmail 基於發送一次性 SMS 驗證碼進行多重因素驗證（MFA）的做法，改為產生 QR Code 讓用家在登入帳戶時進行驗證。雖然這種驗證手法亦非萬無一失，但卻可提升黑客向目標騙取或攔截 SMS 驗證碼的難度，減少用家帳戶被騎劫的風險。而且有跡象顯示黑客亦似乎正在順應大勢，開始探索濫用 QR Code 的可能性，用家不得不防。 想知最新科技新聞？立即免費訂閱！ 服務供應商轉用其他手法 過往使用 SMS…

蛇年伊始，企業網絡建置和管理趨勢去向如何？HPE Aruba Networking 香港及澳門總監及地區總經理蕭惠蓮（Fiona Siu）分享了 AI 在網絡安全和管理對網絡規劃的五大趨勢及影響，值得業界參考。 趨勢一：AI 在網絡連接的應用將持續擴展 企業網絡連接的裝置數量急遽增長，產生或傳輸的數據量也與日俱增，使管理網絡環境愈具挑戰性。各類基礎架構遭受攻擊的案例日益增加，突顯出人力無法有效監控所有威脅。龐大的數據量和網絡安全事故，超出 IT 人員的負荷，迫使 IT 部門必須持續增加人手。 IT 人員的角色也持續轉變。IT 人員在生產、策略以及推進服務或商品上市等領域，現已扮演重要角色，並成為企業營運的關鍵。AI 能應對大量的威脅和數據，讓 IT 人員能釋出資源處理更具策略性的任務。AI…

投資推廣署公布，發現部分電腦系統日前遭惡意勒索軟件入侵，署方已報警並全力配合警方調查，已經通知數字政策辦公室，及向個人資料私隱專員公署（私隱公署）和保安局通報事件。 初步顯示，受影響範圍包括內部客戶管理系統、內聯網、部分投資推廣署網站的運作，仍在調查有否涉及個人資料外洩及影響範圍。署方稱已封鎖有關系統、啟動後備程式並更改相關密碼。 想知最新科技新聞？立即免費訂閱！ 投資推廣署本月 23 日公布，於昨日（22 日）發現一宗資訊保安事故，涉及惡意勒索軟件入侵部分電腦系統。署方發言人指，昨日發現事件後已即時採取行動，加強系統安全措施，防止進一步受勒索軟件入侵，並譴責該等惡意攻擊。 署方正全力配合警方調查，初步顯示受影響範圍包括內部客戶管理系統、內聯網、部分投資推廣署網站的運作（例如經網站聯絡投資推廣署、活動資訊等）。投資推廣署的公眾服務則維持正常，公眾可以繼續透過電話熱線、電郵或會面與投資推廣署人員聯絡。 發言人重申，投資推廣署不會透過電郵、短訊或社交媒體發送超連結，以收集個人資料或要求付款。市民及有關人士應提高警覺，如收到任何聲稱由該署發出的可疑電子郵件或短訊，切勿點擊嵌入的連結、提供任何個人或財務資料（例如信用卡資料），或進行任何付款。 香港資訊科技商會榮譽會長方保僑估計，事件可能基於系統有漏洞，多於人為疏忽。他相信加強保安後，能有效阻截攻擊，又指有必要經常進行網絡安全演練，不時更新防毒軟件及作業系統，防止漏洞。

在數碼轉型浪潮中，資訊安全的挑戰與日俱增。有市場報告預計在 2025 年，全球會有超過 500 億部設備連接互聯網，可以想像網絡安全的覆蓋面有多廣闊及複雜。不過，只要做好以下四大防護，便可以建立「數碼護城河」，無論是對內抑或對外，都可以阻止攻擊發生。 想知最新科技新聞？立即免費訂閱！ 近年不少調查數據均顯示網絡攻擊的數量及造成的損失都有升無跌，在攻擊數量方面，自從 ChatGPT 等生成式 AI 面世，網路釣魚攻擊便暴增了4,151%！在損失方面，最新統計亦顯示平均每宗資安事件都會造成高達 480 萬美元的損失，較去年上升 10%。企業若要遠離網絡攻擊，便要參考如何做好四大防護工作。 風險管理框架 有效的風險管理框架不僅能夠迅速應對突發事件，還可以主動識別弱點和降低漏洞風險。全面的風險管理策略應以保護關鍵業務和數據私隱為核心，當中必須具備透明度，掌握數據的儲存位置、存取者的身份及適當分配權限，時刻以「零信任」和「設計安全」為原則，持續評估風險和保持靈活的思維。另外，要確保快速應對入侵事件，必須設立事故響應團隊，並清晰指定主要聯絡人及各部門的職責。高層管理人員如 CTO、CIO 和 CISO 須互相協調目標，定期評估資安計劃，良好的溝通和共享威脅情報有助於提高應對能力。…

網絡威脅情報技術的發展，過往一直受制於數據過時及資訊保密的挑戰，但人工智能的興起便有機會帶來新的局面。科技巨頭如 Google、Microsoft 及 OpenAI 正逐步轉型為預警系統，透過監控 AI 平台追蹤黑客集團的行動，準確掌握對方的攻擊目標及策略，防患於未然。 想知最新科技新聞？立即免費訂閱！ 以往網絡安全業界認為將 AI 引入網絡安全工具，主要好處包括可以即時處理大量數據，比人手更快偵測出異常行為並自動執行安全措施。此外，AI 透過行為分析，可有效找出真正的內部威脅，並隨著持續學習新的攻擊策略，增強防禦能力。不過，這些優勢仍是建基於整合現有的安全威脅情報，而在缺乏即時的數據及業界未有積極共享威脅情報的情況下，始終未能帶來預期的效果。 Google、Microsoft 及 OpenAI 發表的安全報告顯示，通過監控其人工智能平台的用家輸入資料，便能夠搶先發現網絡攻擊趨勢，有機會將網絡安全發展成早期預警系統。首先在 Google 的威脅情報報告中便指出，他們發現來自伊朗、中國、北韓和俄羅斯的國家級黑客集團正濫用其 Gemini 生成式…