在辦公室工作更有效率？在家工作更具效益？2020 年，讓企業知道兩者可以並存。由思科（Cisco）委託進行《未來勞動力》（Workforce of the Future）調查報告，就發現有 87% 的香港僱員表示，即使辦公室如常開放，仍希望享有更多自主權，自由選擇在家或在辦公室工作及管理工作時間。混合式工作場景有望成為全新的工作模式，公司營運可以更具成本效益，員工亦可享更大的自由度。想要工作效率不受地域所限，雲端 IT 管理方案的角色更見重要，然而中小企的資源限制多，往往連老板、員工都要兼任 IT 管理的工作。面對各式 IT 難題應該如何自處？思科（Cisco）歸納了中小企在混合辦公模式下常遇到的 IT 難題，其實只要選擇合適網絡工具和服務，中小企也可以輕易適應將來難以預期的變化。 網絡會議甩漏多　穩定協作最關鍵 工作需要團隊合作，清楚的工作流程和良好的溝通，才能令合作有效率甚至事半功倍。混合式工作場景，涉及到團隊中分別在家中工作和在辦公室工的成員，一般都會選擇視像會議去代替慣常的直接會面。單對單的會面還不難處理，遇上涉及多人的視像會議，如視像會議服務的穩定性不足，令會議時間都花在技術支援上，無疑是得不償失。此外，又會有不少員工選擇到餐廳、咖啡店甚或其他地方工作，能否利用手機或其他流動裝置完成視像會議，也是值得考慮的一環。如 Cisco 的 Webex視像會議工具就以安全穩定見稱，相對要求較低頻寬就可達致高清畫質，行動版更支援…

要數到本港最多個人用戶的電郵供應商，相信 Google 旗下的 Gmail 必然是頭幾位。Google Account 當然不只電郵這個功能，其 Google Drive 儲存空間等亦大受歡迎，絕對配得起「大神」這個名字。隨著我們把放在 Google 的資料愈放愈多，要避免被入侵帳戶以至私隱盡失，就要必須學懂管理個人 Google Account。一齊來看看科技達人 Ed Bott 的貼士吧。 Ed Bott 認為，使用…

生產力局（HKPC）公布 2021 年資訊安全展望報告，預料在疫情影響下，針對新科技如 5G、物聯網（IoT）及人工智能會大幅度增加；而因應流動支付愈趨普及，加上虛擬銀行及虛擬金融業的發展，生產力局呼籲，業界應多留意資安資訊，加強保安，用戶也要注意密碼設定和保安措施。該局亦指出 ，供應鏈攻擊會升級，單在去年便增加了 430%，企業應多加留神。 在數碼轉型的新常態下，新技術如 5G、物聯網及人工智能的應用等，可能會導致更多系統或數據流量暴露在不可信的網絡中，以物聯網為例，因為密碼強度太低、通訊未有作加密等，存在保安漏洞，被入侵的風險相應會提高，生產力局建議，應深入了解這類新技術牽涉的保安議題，亦應定期進行網絡保安檢查，評估網絡和系統的保安，及持續監察接觸到互聯網的資訊科技配置。 促企業制定WFH保安指引 提升員工保安意識 生產力局數碼轉型部總經理兼 HKCERT 負責人陳仲文指，企業必須為新常態和新技術制定網絡保安策略，在管理計劃中應包括第三方風險、保護任何暴露於互聯網的系統、採用加強驗證並進行網絡保安檢查和監察；另外，企業需要提高員工的網絡保安意識，以應對攻擊。就供應鏈攻擊繞過企業的保安系統的情況，生產力局解釋，攻擊者會利用企業對合作夥伴的信任，來避開保安防禦，通常使用合法軟件發佈機制，將木馬化的軟件組件發布至 「下游」，令企業用家不慎中招。 Work From Home（WFH）工作安排亦為企業保安系統帶來衝擊，有黑客伺機入侵網絡會議，發放不雅內容，又會趁機攻擊缺乏保護的遙距工作端點，生產力局建議企業制訂新常態下的網絡保安策略，提供在家工作安排的保安指南，保護遙距存取設施和端點，並提高員工保安意識，提防釣魚電郵來襲；定期進行網絡保安檢查，評估網絡和系統的保安；持續監察接觸到互聯網的資訊科技配置。企業可以參考該局製作的在家工作的六大資訊保安建議（https://www.hkcert.org/tc/security-guideline/six-security-tips-for-home-office）及評估遠端存取服務保安指南（https://www.hkcert.org/tc/security-guideline/assessing-the-security-of-remote-access-services-guideline）。 使用虛擬銀行 宜設置單獨使用高強度密碼 而在疫情期間能有效減少人與人之間接觸的流動支付，也存在保安風險，陳仲文提到，有流動支付用家將付款…

美國總統 Donald Trump 下令情報機關及五角大廈，於 180 日內交出一切有關不明飛行物體 (UFO) 的報告。大家在這段期間要儲存花生之餘，更要小心防範所有跟這份報告有關的訊息、檔案及連結，否則好奇心害死的下一隻貓，隨時會是你。 上年 12 月美國總統 Donald Trump 簽署新冠肺炎及政府資金法案，當中一項《2021 年情報授權法》內，就規定美國情報機構CIA及五角大廈需於 180 日內，就 UFO 所搜集的資料撰寫報告並提交國會，全球 UFO、外星人協會即時起哄，熱切期待「還我公道」的時刻來臨。即使不是外星迷，相信一般人也會對報告大感興趣。…

為了確保帳戶不被盜用，啟動雙重因素 (two factor) 或多重因素安全驗證 (multi-factor authentication) 機制一向被視為較安全的做法，特別是硬體安全鑰 (hardware security keys) 就更保險。不過，Google Titan 及 YubiKey 系列產品卻被發現可被黑客複製，雖然手續比較麻煩…… 雙重或多重因素安全驗證，一般來說指的是除密碼以外，登入帳戶還須配合其他因素如生物特徵、額外安全編碼等。現時最多人採用的方法以後者居多，而額外安全編碼也可分為透過電郵或短訊接收，或硬體安全鑰認證兩種。早前已有網絡安全專家指出，以電郵或短訊接收安全驗證碼會有危險，因為只要上網裝置如電腦、手機已被黑客入侵，他們就可偷偷安裝惡意軟件，盜取帳戶登入資料並截取安全驗證碼。相反硬體安全鑰則必須在登入帳戶時，插入裝置或以藍牙技術近距離連結，所以安全性會較高。 不過，法國網絡安全研究員 Victor Lomne 及…

疫情下網購成為新常態，黑客自然會與時並進，利用相關付款工具發動釣魚攻擊。最近手法是透過 SMS 發出 PayPal 帳戶受限制的訊息，假扮官方通知用家的帳戶須重新驗證方可使用。PayPal 用家如收到類似短訊，切記直接刪除！ 釣魚攻擊 (Phishing) 主要是指透過虛假電郵或訊息，引誘收件人點擊內裏的連結，騙取帳戶登入資料。其中一種方式叫作 SMishing，即以 SMS 短訊為攻擊媒介，早前美國電訊商 Verizon 發表的 Mobile Security Index 2020，便指至少有 17% 的釣魚攻擊源自…

新冠肺炎第四波疫情悄然降臨，有公司在年頭已開始推行遙距辦公（Remote Working）政策，准許員工在家工作 Work From Home（WFH），亦有公司在疫情緩和之際推行彈性上班。不過，在遠離辦公室的標準網絡安全保護網下，黑客亦蠢蠢欲動，承機以釣魚電郵及網站，以及用惡意軟件等攻擊缺乏安全網絡環境的員工電腦，入侵企業系統。香港互聯網註冊管理有限公司 （HKIRC）行政總裁黃家偉表示，企業和員工都有各自可採取的措施，去營造安全遙距辦公環境，降低資料外洩機會。 Microsoft 早前曾公布數據，指出在疫情爆發後，黑客利用全球所有人對疫情的恐懼和對資訊的渴望，藉機發動網絡攻擊，特別是遭受疫情重創的國家及地區，成功發動攻擊更現上升趨勢；全球每天數以百萬計的針對性網絡釣魚郵件中，大約有 6 萬個包含與新冠肺炎相關的惡意附件或惡意連結。與此同時，因應遙距辦公措施，不少企業未有制定相關指引，讓員工注意風險，HKIRC 上月公布《香港遙距工作網絡安全應用調查》結果，只有約四成的受訪中小企業曾向員工提供遙距工作指導 (42%) 和網絡安全資訊 (41%)，而員工亦缺乏網絡安全意識相關的訓練，僅 30% 個人受訪者曾受過這類培訓。 籲以VPN連線 切勿連接公眾Wi-Fi 欠缺使用守則，會令員工因疏忽而造成資料外洩。要改善欠缺網絡安全意識的情況，黃家偉建議，培訓可從人、系統、政策三方面入手：在人方面，要提醒員工注意 Wi-Fi…

在新冠炎肺疫情反反復復的情況下，新經濟常常受到衝擊，各地股市市場指數大上大落，疫情受控或疫苗開發有望，舊經濟抬頭，而疫情不受控或疫苗開發，又阻礙新經濟開動。Zoom Video Communications Inc. 作為新冠炎肺疫情必須的「網上會議工具」，又有「在家工作受益股」的綽號，有人認為她是比騰訊更騰訊，比 Tesla 更 Tesla 的新經濟公司。Zoom 在 2019 年 4 月在美國 NASDAQ 股票市場上市，IPO 以每股 36 美元上市，疫情下最高價位每股達 588…

COVID-19 改寫人類歷史，展望 2021 年，企業預算肯定縮減，實務卻有增無減，最近電視廣告不斷輪迴「請一個人出七份糧做十個人嘅嘢」，到底點實行？在 Juniper Network 任職 Global Security Strategy Director 的 Laurence Pitt 在《Security Week》分享經驗，效果沒有如此誇張，但亦相當值得參考。 疫情前全球整體經濟向好，管理層習慣預算年年加 10％，2021 年此情不再，企業在後疫情下重整業務架構，視乎性質部門有不同分配資源優先權，但各行各業 IT…

網絡上的不法分子不比現實歹徒善良，只是戰場不一，一宗事故對企業的影響都可以極大。早前有研究指，一宗資料外洩事故平均造成企業 368 萬美元損失，每宗事故的平均停機時間成本，自 2018 年以來，飆升 200％以上，達到 141,000 美元。以香港的情況而言，[01] 在 2019 年 11 月至2020 年 10 月期間，網安事故大多是來自殭屍網絡及釣魚電郵攻擊，分別佔本港市場上的網絡攻擊 52.1%（4,330宗） 及 39.4%（3,277宗）［註1］。在疫情催化下，不少企業推行遙距工作政策，因此需要將資料放到雲端以便工作，亦成為新常態（new normal），但企業所面對的網絡攻擊所引致的資料外洩風險也隨之提高。 智選專家助企業保本及化險爲夷 要為資訊安全漏洞和資料外洩風險做好準備，如果能得到一班可靠的資安專家的協助，為保安事故做好應對準備，必然是最佳解決方案。在 IT 人才短缺的情況下，公司也未必有足夠資源，聘請專責處理事故的人員跟進，加上資料外洩事故時有發生，如果沒有專家解難，長久下去，恐怕會令公司蒙受更大損失。[02] 因此，網絡安全事故應變（Incident Response, IR）服務便應運而生，以應對五花八門的網絡安全問題，而從企業開支的角度來看，成立 IR 團隊可以平均節省 200 萬美元的資料外洩成本［註2］，幫到手之餘又能節省成本！ 網絡風險管理六步曲 有效救火止「洩」 那麼究竟 IR 實際上如何運作及發揮作用？IR 能有系統地處理網絡事故，由一群安全專家針對不同資訊安全狀況，擬定最適切的應對方案及策略。情況就好像消防員來到火警現場，先要評估現場情況，找出起火點，繼而評估受影響範圍，再定出處理策略，以遏制並消除威脅。IR 解決方案引入獲國際認可的網絡安全框架 SANS（美國系統網路安全研究機構）及NIST（美國國家標準技術研究院），並根據企業組織的不同狀況，按照既定流程進行網絡風險管理。網絡安全框架分爲6個應變階段：首先，檢視客戶對網絡安全事故應變的準備程度，並助建立監控及應變機制（準備 Prepare）。在接到客戶網絡安全事故報告後，確認是否事故（鑑定Identify），再繼而評估嚴重性，並快速作回應；確定事件的受影響範圍和嚴重性，控制入侵範圍，避免進一步擴大（遏制 Contain）；繼而分析攻擊來源，再加以清除 （消除 Eradicate），盡可能恢復在事故中損失的數據，協助恢復正常業務運作，並監測攻擊會否捲土重來（恢復 Recovery）；最後，提交初步評估報告，詳述每宗事故所採取的措施及從事故中學習，並可行建議及策略，加強網絡保安能力（檢討 Lesson Learnt）。總括而言，採用 IR 策略，可以降低來自內及外的威脅所帶來的影響，並且找出引起威脅的原因，根除威脅源頭，有利於管理未來的風險。 本地專業團隊24×7支援 隨時候命 HKT 網絡安全事故應變（Incident Response, IR）服務，由新世代網絡安全監控中心（Next Generation Security Operations Center）及本地網絡安全專家團隊，全天候 24×7 支援客戶。專家團隊經驗豐富具備不同範疇的國際標準安全認證資格，例如：GCFA、GPEN、GCIH、GCFE、GCTI、GNFA、GWAFT、GICSP、CISA、OSCP、CISSP、CISM、CCSP、CompTIA Security+、GREM、GXPN、GCIA、GASF、EnCE、ACE，能深入了解不同行業的企業及機構需要。企業尋求協助時，亦毋需受語言不通困擾，而且專家身在處同一時間區域，避免因時差延誤支援而導致損失。專家團隊透過可靠的本地及環球威脅情報，能快速針對漏洞作出應對，有效協助企業處理安全事件，將破壞程度減至最低，避免業務中斷或停止運作。 此IR服務曾為客戶處理在近年十分猖獗，並且針對CEO、高層主管等的變臉郵件詐騙（Business Email…