香港的電子支付服務起步較遲，不過，近年在Alipay、WeChat Pay、PayMe、Tap&GO 等支付系統大舉推廣下，已有不少人習慣電子付費。今年六月 Visa 曾發表調查報告，指 53% 港人曾嘗試只靠電子支付過日常生活，71% 港人首選非現金支付方式。作為消費者，選擇電子支付只須克服信心問題；但作為收款的中小企業卻要諗過度過，因為安裝電子支付系統時，服務供應商會收取租金或於每宗交易收取費用，以及各式各樣的安裝費及保養費，再加上如要安裝多於一種收費方式，成本無疑會為中小企帶來不少壓力。 降低電子支付申請門檻 香港電子支付系統開發商 Yedpay 交易寶聯合創辦人兼技術總監黃韋皓解釋：「SME 要引入電子支付服務，門檻很高，申請手續又費時，而且又未必達到安裝要求，例如一些街邊檔沒有網絡連線，Yedpay 的一站式無線收款系統，便可以解決這些問題。」他說收款系統可插 SIM 卡，即使店鋪沒有寬頻服務，也一樣可以使用，而且一部機已有齊 Visa、Master、Alipay 、Apple Pay、Samsung Pay、Google Pay 及…

公司的數據有多安全？將其放上雲端，面臨的風險是否差不多？以上問題經常令資訊安全專業人員寢食難安。這也難怪，因為許多企業以為儲存於雲端基建內的數據不會外洩，但事實證明這種想法是大錯特錯。實際上，公共雲滋生出新的攻擊趨勢，而早前 Sophos 針對 Amazon Web Services （AWS） 數據中心進行的研究，正好印證網絡罪犯在這方面的行動有多迅速。 公共雲的風險有多高？ 安全研究人員可透過雲端蜜罐（一種網絡攻擊目標模仿系統）來監察出網絡犯罪行為，而 Sophos 便在 AWS 全球其中 10 個最受歡迎的數據中心設置蜜罐，啟動後不消一分鐘（52秒）， 即有蜜罐遭受攻擊；30 日後，每個蜜罐錄得平均每分鐘被攻擊高達 13次。 我們的研究顯示，網絡罪犯現時積極尋找脆弱或開放的雲端目標來入侵，甚至會利用自動化工具以求迅速得手。雖然這並不代表企業採用公共雲就一定會陷入危機，但研究結果反映出，如企業要享有公共雲帶來的優勢，就必須確保轄下數據的安全，亦即是要注重智能可視度、法規遵循以及人工智能監控。…

被稱為全球現時最嚴厲的私隱保障及安全法規，歐盟《一般資料保護規則 》（GDPR） 已實施超過一年。此規則旨在為歐盟公民個人資料的儲存和處理，提供更好的保障，但仍然有許多公司未有對此嚴格遵守，當中包括歐洲以外的知名公司。 例如，美國酒店連鎖巨頭萬豪國際集團 （Marriott International）因駭客盜取了 3.83 億條客人訂房記錄，結果要面對 1.25 億美元巨額罰款；谷歌亦因其用戶意見征求政策，以及未對使用用戶信息進行足夠監管，而被罰款 5,680 萬美元。 儘管以上案件備受矚目，全球任何機構在針對或收集與歐盟成員國家人民有關的資料的行為上，亦必須嚴格遵守 GDPR，只要有任何一個客戶屬於歐盟公民，都要遵守該新法，但香港一些公司仍然以為這法規與其業務運作無關。事實上，歐盟是香港的第二大的貿易夥伴，排名僅次於中國內地；在香港，市面上更有逾 2,200 家來自歐盟國家的公司正在進行業務。 為幫助本地企業遵守 GDPR，香港電腦保安事故協調中心（HKCERT）已經找出可造成資料外洩的四種主要網絡攻擊，若採取適當的保安措施，便可以減低其影響。這些攻擊包括： 網絡釣魚攻擊：網絡釣魚是最常見的攻擊手法之一，有很高的騙取用戶憑證成功率。因此，應定期進行用戶意識培訓，以保持工作人員對可疑網站和電子郵件的高度警惕。利用系統漏洞攻擊：實施計劃周全的修補程式更新管理，包括修補程式更新週期，例如在推出到生產環境之前在預備環境進行「用戶接受度測試」（UAT），以及訂立針對終止支援的系統的適當退出計劃，對防止攻擊者通過舊版或未進行修補程式更新的系統損害公司網絡，尤關重要。若企業因一些實際的理由而無法替代舊版系統，便需要一層額外的保護（即防火牆）來控制和監視對它的訪問。來自不可信的網路的攻擊：一旦員工試圖通過公開的網絡（例如互聯網或公共 Wi-Fi）進入公司網絡，資料外洩的風險就會大大增加，例如設備丟失、會話劫持等，所以必須應用嚴格的身份驗證，例如雙重驗證、使用 VPN…

還有不足一個月，香港首個全公開的 Capture The Flag（CTF）奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽，與過往在香港舉辦的 CTF 賽事有很大分別，該會的 COO 梁國基（Frankie）表示，他們今次將會同時舉辦學生組及公開組，而不再各有各玩，「雖然賽事定位會影響部分贊助商的決定，例如賽事有學生組會減低商業性；但我們認為不應這麼極端，既然要推廣 CTF，就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事，就由綽號「資安長老」的 Frankie，拉下神秘面紗為大家講解。 形式進化更講策略 CTF 奪旗賽，牽涉到很多不同類型的賽事，例如戶外運動、wall game 等等，但在網絡安全界別，就是一種讓黑客比併電腦技術的活動。Frankie…

俾人搞而唔還拖，原因有好多，例如唔夠打、俾人揸住痛腳、人哋有財有勢……等等。仲有一樣，就係好想賺佢啲錢，所以唯有忍一忍先。 最近澳洲政府嘅舉動，就可能屬於後者。路透社引述消息人士指，當地情報部門已經確認年初多宗黑客入侵事件係中國黑客所為，不過為咗唔好損害兩國貿易關係，所以唔打算公開調查報告內容！ 重溫一下劇情先，話說今年三月，負責網絡情報嘅澳洲國防通訊事務部（ASD）出咗份調查報告，確認喺二月澳洲國會同埋三個主要政黨（自由黨、國家黨及工黨）俾黑客入侵，當時總理 Scott Morrison 話由於五月大選就到，咁敏感嘅時勢唔適宜公開具體細節，表示等大選完咗先再講。 可能總理以為咁就過到骨，點知傳媒衰在記性好。路透社近日就接到報料，話其實份報告寫得好詳細，發現黑客所用嘅程式碼同埋入侵手法，同中國黑客過去嘅手法一模一樣，所以幾肯定佢哋係幕後黑手。路透社之後向總理辦公室同埋中國外交部求證，前者直接拒絕回應，而後者就例牌否認，兼且重申中國都係網絡攻擊嘅受害者！ 消息人士指 ASD 建議調查報告內容要保密，原因只有一個：錢！因為中國係澳洲最大貿易夥伴，係澳洲鐵礦石、煤炭同埋農產品嘅主要買家，佔澳洲出口總額超過三分之一，每年仲有過百萬觀光客同埋留學生前往澳洲，條數都幾襟計，所以將網絡安全同國家收入秤一秤後，就選擇噤聲嘞。 雖然唔知消息真偽，但老實講澳洲近期都有唔少針對中國嘅動作，例如禁止外國政治捐款，同埋禁止電訊設備製造商華為參與當地 5G 網絡建設，已經令兩國關係差咗唔少，如果爆埋呢單就可能真係會影響邦交。之不過，如果真係好似調查報告所講攻擊過三大政黨，相信佢哋都唔會咁易放過總理嘅。 資料來源：https://reut.rs/2lPGQ4H

上次邀請了網絡安全保險專家盧子頴，講解這類保險的保障範圍，以及哪一類企業應該盡快考慮投保。不過，原來並非想買就可以買到，因為保險公司會先評估投保人有沒有做足安全措施，除了影響投保成功投保率，更會左右保費。 三大因素影響投保 網絡安全保險供應商智咨詢集團執行董事盧子頴指出，雖然遇到的個案不多，但間中也會有投保人以為只要有錢就可投保，但其實保險公司也需要核保，評估投保人受到網絡攻擊的風險。「如果店鋪連門鎖也沒有，試問怎會有保險公司受保？」他指出保險公司首先會檢查企業現有的網絡安全措施，例如有沒有裝設防火牆、防毒軟件、登入權限管理、升級硬件及軟件韌體的政策、個人私隱保管政策、遙距登入管制等等，「如果企業完全沒有做，保險公司會建議對方先做好基本的網絡安全措施，之後才考慮投保，因為即使轉投其他保險公司，相信也不會成功。」盧子頴補充說，其實投保不能賺錢，只能減少損失，所以如果站在預防被攻擊的立場，企業都應先做好防禦工作。 除了檢查安全措施，盧子頴表示保險公司還會考慮企業的業務性質，如屬於高風險行業，例如涉及加密貨幣交易，又或處理的個人私隱數據太多，就並非所有保險公司就會受保。另外，一些規模較細的保險公司，如投保企業每年的生意額太高，也可能因為承受不到風險而無法接單，這些因素就與投保企業無關。 上述的考慮因素，不單只會左右投保成功率，同時也會影響保費，「因為全部同風險有關，簡單來說，風險愈高的生意，保險公司收取的保費就會愈高。」盧子頴解釋跟傳統保險服務一樣，保費高低還要因應保額、墊底費及保障內容計算，如前文提及的增值保障如勒索贖金、外判商失誤等，便會提高投保費用。記者問如企業內擁有考獲 CISSP、CEH 等證書的網絡安全專家，安全度理應較高，是否可成為減保費的因素？他說理論上是，但同時間代表企業的業務複雜性較高，而且亦可能有較多監管要求，所以保費最終也要視乎實際情況而定。 「雖然保險費用很難有參考價格，但視乎選購的保險計劃，保費可低至每年五六千元。」盧子頴建議企業管理者不用想得太多，如認為業務受到攻擊的風險頗高，應邀請保險公司進行評估，之後再考慮是否購買也不遲。

數碼轉型的好處，相信毋須特別多提；不過隨著愈來愈多企業將重要工作或數據轉移雲端，網絡安全的問題亦陸續浮面，例如難以把握的多雲(Multi-Cloud)架構、複雜的存取權限管理，特別是「影子 IT」」（Shadow IT）應用失控，每走一步似乎都可以引發難以預計的洩密風險。既要繼續移雲，但對網絡安全又有大量疑雲，應該如何自處？ 發展過快 監管困難 先來看看現時企業管理者面對的難題，愈趨複雜的多雲架構及存取權限問題都較易理解，但到底「影子IT」應用又是什麼一回事？它其實代表未經企業 IT 部門允許的應用軟件。根據最新發表的一份網絡安全調查顯示，企業管理者認為員工使用的雲端應用軟件數量為 452 種，但實際上卻是 1807 種，足足接近 4 倍之多，完全低估了實際使用情況，這些影子 IT 應用既然未被允許使用，企業 IT 部門所採購的網絡安全設備自然難以洞察及堵塞其漏洞，大大增加黑客潛入的門路。 除了雲端應用「失控」， BYOD（Bring…

裝得防毒軟件，梗係希望可以攔截病毒或去錯虛假網站，但如果佢會洩漏你嘅行蹤，你又會唔會用？ 網絡防毒軟件供應商 Kaspersky 嘅產品，最近就被發現原來有呢種「附加功能」，而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現，Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security，喺用戶訪問每個網站時，都會遙距注入一個 JavaScript 檔案去目標網站，以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky…

惡意木馬軟件 Mirai（未來）又有新變種，雖然都係針對 IoT 產品嚟攻擊，但就識得透過 Tor 洋蔥網絡嚟隱身，令網絡安全專家難以追蹤 C2（Command and Control）嘅位置，一旦黑客控制呢啲受感染 IoT 嚟發動攻擊，想阻止或壓制佢嘅感染力，就會變得好困難喇。 Mirai 專搵 IoT 缺口 Mirai 呢隻木馬軟件，喺 2016 年曾引發過多宗 DDoS…

請立即更新 iOS 裝置嘅系統，呢句說話已經講咗唔知幾多次。不過，而家又要再講多次喇，因為 Google Project Zero 團隊早前向 Apple 提交 6 個 iOS 漏洞，雖然 Apple 喺新推出嘅 iOS 12.4 版本已經解決其中 5 個，仲有一個未解決到，但起碼減少被黑客攻擊嘅風險丫。…