數碼轉型的好處，相信毋須特別多提；不過隨著愈來愈多企業將重要工作或數據轉移雲端，網絡安全的問題亦陸續浮面，例如難以把握的多雲(Multi-Cloud)架構、複雜的存取權限管理，特別是「影子 IT」」（Shadow IT）應用失控，每走一步似乎都可以引發難以預計的洩密風險。既要繼續移雲，但對網絡安全又有大量疑雲，應該如何自處？ 發展過快 監管困難 先來看看現時企業管理者面對的難題，愈趨複雜的多雲架構及存取權限問題都較易理解，但到底「影子IT」應用又是什麼一回事？它其實代表未經企業 IT 部門允許的應用軟件。根據最新發表的一份網絡安全調查顯示，企業管理者認為員工使用的雲端應用軟件數量為 452 種，但實際上卻是 1807 種，足足接近 4 倍之多，完全低估了實際使用情況，這些影子 IT 應用既然未被允許使用，企業 IT 部門所採購的網絡安全設備自然難以洞察及堵塞其漏洞，大大增加黑客潛入的門路。 除了雲端應用「失控」， BYOD（Bring…

欺詐之神話而家呃人，容易過 50 年前 4000 倍，唔好問點解，信就得。 《Catch Me if You Can》（港譯《捉智雙雄》）呢套經典犯罪電影相信好多人都睇過，喺戲內由里安納度狄卡比奧（Leonardo DiCaprio）飾演嘅欺詐犯 Frank Abagnale，的確真有其人，多次利用人類心理漏洞扮成法語教師、醫生、律師、機師，又涉及偽造支票，被 FBI 逮捕及服役後，轉而為 FBI 服務及開設安全顧問公司，以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話，造成資料外洩嘅唔係黑客，製造漏洞嘅永遠係受害者自己或公司員工，例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心，以為黑客唔會攻擊自己。Frank…

無論係企業抑或個人，喺轉售、棄置或因中毒而要重設電子產品嘅時候，都應該要注意小心處理入面儲存嘅資料。以為刪除晒入面嘅資料或回復原廠設定就得？等英國國家網絡安全中心嘅專家話你知得唔得。 英國國家網絡安全中心（UK National Cyber Security Centre, NCSC）早前發佈咗一份關於 電子裝置還原原廠設定或重新配備嘅安全指引，指引內模擬咗四個唔同嘅場景，分別係：裝置受惡意軟件感染、設定新裝置、於組織內將裝置重新交由另一相同職級嘅人使用，及清洗裝置以作出售或於組織內將裝置重新交由較低權限的人使用。根據以上呢四個場景，NCSC 對 Android、iOS 作業系統嘅裝置都有唔同建議。 Android 裝置唔建議放售 首先係清洗病毒及內存資料方面，專家指一旦 Android 受惡意軟件感染，單係回復原廠設定或重裝系統並唔足夠，因為先進嘅惡意軟件可以繼續存在於系統內，同時間，做完以上動作都唔會清除到 SD 卡上嘅資料。如果裝置係牽涉到接觸高度機密資料，專家就建議中毒後要換過部新機，而且由於 Android 裝置係無認證方法可以完全清除所有資料，所以無論部機有無中過毒都好，只要入面嘅資料唔外洩得，都唔好拎去轉售，又或交俾組織內權限較低嘅人使用。…

個人資料外洩事故經常發生，雖然唔少事件係同黑客有關，但更多情況係由員工一手造成，好似 E3 喺網站無緣無故擺放近 2000 個媒體嘅個人資料檔案、IKEA 喺宣傳電郵內同時將 410 個用戶電郵地址發送，就絕對係人手犯嘅錯喇！ 遊戲界大事件 首先講下 E3 （Electronic Entertainment Expo）事件先，E3 係全球最大型嘅遊戲展覽，所有遊戲界大作、新嘅家用遊戲機消息都會喺呢度發佈。今年 E3 已經喺 6 月舉行，有參加咗今次展覽嘅 YouTube…

專門幫助慘遭勒索軟件攻擊嘅「No More Ransom」（拒絕勒索軟體）計劃剛剛慶祝成立 3 周年，計劃自 2016 年 7 月至今，共幫助超過 20 萬名苦主免費解鎖，慳返約 1.08 億美元贖款。團隊加油，繼續幫苦主鬆綁！ No More Ransom 計劃成立以嚟，其中一場勝仗必定要數 GandCrab。自 2018 年…

勒索軟件事故頻頻，而且愈來愈大鑊，只計美國就有多個市政府、大學、醫院遭殃。最近南非第一大城市約翰內斯堡嘅電力公司 City Power 亦遭受攻擊，網絡系統、資料庫、應用程式全數被打包，更有部分用戶要忍受停電近 12 小時，非常濕滯。 City Power 透過 Twitter 公告，公司遭受勒索軟件攻擊，資料庫、應用程式及網絡系統均被加密，ICT 部門正在清除惡意程式及重啟所有受影響嘅應用程式。而受到今次攻撃影響，City Power 客戶無法透過預繳系統進行交易。雖然發電廠已經緊急調派人力維修，不過連系統都唔 work，所以維修進度大受影響。 最慘嘅係，出事之日，正正係南非大多數打工仔嘅出糧日，好多人都要趁出糧日去買下個月嘅用電，部分用戶被迫停電近 12 小時，而依家正值南半球嘅冬季，夜晚得攝氏幾度，真真正正叫雪上加霜。 據報導，現時 City…

歐洲航空安全局（EASA）早前更新咗對 Airbus A350-941 型號客機嘅適航指令（airworthiness directives），指呢架客機存在安全問題，連續著機 149 個鐘就要 reboot 系統一次，但查實呢個指令兩年前已推出，而 Airbus 足足兩年都無修補到⋯⋯ 適航指令係由全球各地嘅民航監管機關所發出，當監管機關發現某型號飛機或系統存在安全隱憂，就會發出強制性指令俾飛機所有者及操作者，要佢哋跟住指令嘅內容執行。而 EASA 向 Airbus 發出嘅適航指令，指出呢款客機喺連續著電 149 個鐘前，就要熄機 reboot 一次，否則機上嘅航空設備或網絡就會失聯，甚至影響某啲核心功能嘅模組失控。根據資料顯示，受影響嘅控制模組，具有管理燃油系統、調整機艙壓力、供氧、機翼除冰以及降落等等，換句話即係非常重要嘅模組嚟，如果失控，真係好大件事。…

Google 無痕式視窗（Incognito Mode）絕非「不留痕」，最近有調查發現，就算開咗「privacy mode」，其實瀏覽器依然追蹤緊用戶一舉一動，睇「私人」嘢都唔係咁保險⋯⋯ 根據《New Media & Society》及《New York Times》報導，研究員追查咗 22,484 個色情網站，發現當中有 93％ 藏有追蹤器，會將瀏覽嘅網民資料，向約 7 個第三方域名傳送出去，再次證明「隱私工具」無甚私隱。 見有 Privacy 字眼，好多網民都以為瀏覽器會幫手隱藏身份，但正確嚟講，其實應該將「無痕式」瀏覽視為一個獨立處理嘅 session、短暫嘅選項，目的只係將無痕式上網同一般模式上網嘅紀錄分隔開，同時限制唔將呢啲…

經 NotPetya 一役，馬士基不僅致力改進自身的網絡安全，而且還把它發展成一項「競爭優勢」，它是一次非常切中要害又非常昂貴的喚醒服務。 發生襲擊後兩星期，馬士基的網絡終於恢復至可以重新運作，公司為絕大部分員工下發整理後的個人電腦。哥本哈根總部大樓地庫的自助餐廳，已被挪用為重新安裝電腦的部門，每次都有 20 部電腦被排成一列，系統服務站的員工會按順序插入USB，按照畫面提示不斷點擊執行清洗工作。 從梅登黑德返回哥本哈根後，Henrik Jensen 從按著使用者姓名字母排列的幾百部手提電腦中，找到了屬於自己的一部，硬盤裡面的東西已經被徹底刪除，並且安裝了一個乾淨的 Windows 鏡像。 有危就有機 五個月後，馬士基主席 Jim Hagemann Snabe 於瑞士達沃斯世界經濟論壇大會上，對公司 IT 部門在這次拯救行動中付出的「英雄般的努力」表示稱讚。 他說，從…

為咗減少用家帳戶被盜取嘅風險，好多網站或應用程式例如 Facebook、Instagram 都採用咗雙重驗證（Two Factor Authentication, 2FA），用家除咗要輸入登入帳戶名稱、密碼之外，仲需要提供額外嘅驗證碼，例如通過 SMS 將一次性驗證碼發送俾用家，又或好似匯豐等網上理財一樣，要輸入保安編碼器提供嘅登入編碼。視乎所登入帳戶嘅重要性，用家未必每次都需要用到 2FA 嚟登入，例如當網站或應用程式偵測到用家使用另一部裝置登入，又或用家要求重設密碼，先至會觸發 2FA 運作。 暴力破解2FA驗證 Facebook 旗下嘅 Instagram 本身亦設有 2FA 驗證基制，當用家要求重設密碼，Instagram 就會將…