香港地行行「搶人才」，尤其以資訊科技界人才最為短缺，無論大家最熟悉的 IT 支援，還是寫網站寫 Apps、數據分析、雲端工程，通通也是 IT 界人才。到底 IT 界有何熱門職位？新手入行應該如何選擇？哪類職位有前景又有錢景？一文立即看清！ 根據香港人力資源管理學會去年底公佈的「2022 年薪酬趨勢調查」，IT 行業加薪幅度最大，平均幅度達9.8%，跑贏大市。而 IT 界「最大路」工種分別為軟件開發（Software Development）、數據工程（Data Engineering）、網絡安全（Cyber Security）、雲端工程（Cloud）和項目管理。 兩大熱門範疇多空缺　新手易Pick Up IT 獵頭公司…

勒索軟件、數據洩露、黑客攻擊，2022 年的網絡威脅仍然層出不窮。踏入 2023 年，網絡安全趨勢將會如何呢？小編整合了不同網絡安全解決方案供應商的預測，他們不約而同認為「網絡犯罪即服務」及地緣政治，將加速網絡攻擊，改變黑客組織的「財路」，俄羅斯發動的網絡戰或會延伸至亞太區，而身分認證攻擊，亦會繼續成為常見的攻擊手段。 CaaS 興起     黑客老手變賣家 科技進步不止方便普羅大眾，同時令網絡攻擊者的攻擊成本降低、攻擊方式更加先進。FortiGuard Labs、Splunk 及 Barracuda 均認為，隨著勒索軟件即服務（RaaS）的商業模式日漸興起，越來越多額外攻擊媒介，將透過暗網（dark web）以服務形式出現，促使網絡犯罪即服務（CaaS）擴張。 日後網絡攻擊者毋須再事先投入時間和資源，制訂自己獨有的攻擊計劃，而可輕鬆利用一站式產品，配合不同的技術水平，即可發動攻擊，將加速網絡攻擊的數量及成效。至於對經驗老到的網路犯罪分子而言，建立及出售攻擊組合即服務，更是一條簡單、快速且可重複的「財路」。 FortiGuard Labs 認為，除勒索軟件和其他惡意軟件即服務可供銷售外，其他另類的獨立新服務也將冒起，包括「偵察即服務」，在暗網聘用「偵探」來收集特定目標的情報，包括攻擊藍圖、機構的安全模式、關鍵網絡安全人員、對方擁有的伺服器數量、已知的外部漏洞，甚至供予出售的外洩認證資料等。而「洗錢即服務」（LaaS）亦可能很快成為主流，即自動化服務將取代人手處理的錢騾招攬活動，透過加密貨幣交易所轉移資金，使洗錢流程更快、更難追蹤。 政治網絡戰持續 俄羅斯向亞太區報復…

主要針對金融機構發動釣魚攻擊的 Silence 組織，被Cisco Talos安全研究人員發現，近月開始使用 TrueBot 惡意軟件感染目標電腦，受害主機分布在全球多個地方，約有 1,500 部主機遭受攻擊。黑客更會啟動 Clop 勒索軟件，逼使受害企業交贖金。專家指要捕捉到他們的入侵活動相當困難，一齊睇睇他們如何隱藏入侵行蹤。 Silence 並非新出現的黑客組織，事實上，安全機構 Group-IB 在 2016 年已注意到他們曾入侵銀行，不過卻未能成功轉帳，其後他們再次入侵該銀行，並開始暗中監管銀行活動，再以截圖或影片了解銀行轉帳運作。 直至 2017 年，他們才成功從提款機偷取超過十萬元款項。其後多年，Silence 至少從俄羅斯、歐洲、亞洲及南美銀行盜取…

在今年 6 月，Microsoft 宣布不再支援 Internet Explorer，並讓 Microsoft Edge 推出兼容 IE 的版本。但最近竟發現黑客仍在尋找 IE 的漏洞，並將之利用作入侵。方法是透過電子郵件發送的 Office 檔案中，藏了一個 IE 漏洞，即使不是使用 IE 作默認瀏覽器，但仍會在 IE…

持續幾年的疫情，令全港市民紛紛走向「科技化」，過往在現實世界進行的活動，例如會議、購物、銀行戶口的開立等，都已轉移至網上世界。即使以往不熟悉智能手機操作的長者，現時亦已得心應手。正好這幾年，數碼銀行興起，據環球科技和管理顧問公司發表的亞太區「未來銀行」系列調查報告，顯示過去兩年，香港用戶對數碼銀行信心大增，6 成人願意提供私隱數據，以獲得個人化產品及服務。 誠然，科技發展徹底改變市民的生活，但同時引發私隱保護的疑慮，當中一不留神，便會衍生出種種個人資料洩漏或被盜用問題。筆者在軟件系統的應用開發方面，經常會涉及用戶私隱資料及位置分享與追蹤功能，故在數據私隱保護問題上一直遇到不少挑戰。 綜合多年開發經驗及實際客戶方案後，已掌握保護數據私隱的開發思維及技術準則。要防止數據外洩 ，作為開發商應考慮：1. 數據不應離開數據源頭 2. 要把數據資料上傳或發送，只抽取有限度的重要資料並予以加密，同時開發商要確保資料離開數據源後，即使外洩至第三方，對方亦無法解密或從資料推斷到源頭的所有私隱數據。 何謂數據不離開源頭？舉個最簡明的例子，筆者曾處理過澳門賭場的大型項目，賭場的出入人次、會員、客戶個人資料、兌換籌票金額等資料數據，只存於賭場內的伺服器，並不會傳輸或上載到任何地方。 至於如何只抽取有限度的重要資料並予以加密？又一例子說明。 筆者亦有參與開發「居安抗疫」App，當中的數據私隱保護問題亦引起不少關注。當中「Network Signal」最能體現。要知道用戶的實時位置，最直接方法就是安裝軟件，直接從其手機取得用戶的資料。但要保障用戶私隱，在開發過程中，我們花了大量時間，棄用直接方法，研發出「Network Signal」功能。 「Network Signal」，當「居安抗疫」App 需要監測某人的所在位置，App 系統後台並不會取得該人的姓名、性別、身份證號碼、電話號碼或住址；換言之，系統後台人員不會知道該人士的身份，只知道一個編號，而透過 Network Signal（Wifi Pattern）知悉其有沒離開所在範圍。這是一項間接而又能取得所需資訊的方法，令使用者的個人資料只會存於其手機中，App…

畢馬威（KPMG）會計事務所及市場調查公司 Gartner 先後發表科技分析報告，前者指九成受訪企業考慮將雲端架構提升至先進級別，後者則指出在 2023 年，企業花費在公共雲服務的投資，將高達 5,900 萬億美元，較 2022 年大增 20.7%！可見企業雲轉移的步伐將再提速。不過，數碼轉型並非單純㩒升級掣，還要克服很多挑戰，例如近期熱門話題 ── 搶人才。 現時不少企業在雲轉移過程前，都會考慮採用混合雲（Hybrid Cloud）架構，即結合私有雲（Private Cloud）和公共雲（Public Cloud）的 IT 基礎架構模式。由於企業可以選擇不同的雲服務供應商部署工作負載或儲存空間，因此具備高靈活性、高擴充性及節省成本的優點，亦令企業可選用最優質的雲端服務。 KPMG 的…

天文台今日清晨時份預告於中午時段發出八號風球，早上繁忙時間人流明顯比平日稀少，相信是由於不少打工仔早一日得知颱風將至，獲公司預先安排在家工作（Work From Home）。事實上，疫情加速企業數碼轉型的步伐，促使在家工作或遙距辦公成為新常態，不過這類工作模式需要承受較高的網絡安全及資料外洩的風險，只有一人不慎打開缺口，隨時累街坊！即睇 10 大 Work From Home 網絡安全貼士，向黑客講 Byebye。 【打工仔篇】 使用最新的網絡、軟件及應用程式，安裝個人防火牆、抗惡意程式碼軟件、網絡入侵偵測系統和網絡入侵防禦系統，確保所有軟件及固件已安裝最新的修補程式並已更新，防堵任何已知的漏洞避免使用公共 Wi-Fi 網絡處理敏感資料，改為使用安全連線連接至工作環境，例如虛擬私有網絡（VPN）。在家使用 Wi-Fi 時，應確保使用 WPA2 或 WPA3 加密技術，不要使用有漏洞的…

網絡釣魚（Phishing）攻擊手法層出不窮，有黑客緊貼市場動向，把握蘋果發佈新品及 NFT 買賣活躍的機會，作出針對性部署。電郵安全公司 Green Radar 劍達（香港）有限公司公布的 2022 年第三季度電郵威脅指數（GRETI）中，季度指數為 68.1 分，比上季 66.5 分為高，反映電郵威脅風險比上季有所提升。網絡釣魚及商業電郵詐騙（BEC）攻擊非常活躍，處於「高」風險級別水平，其中商業電郵詐騙攻擊比上季增長42.2%。 根據 Green Radar 電郵安全監控中心（SOC）統計數據顯示，LinkedIn、DHL和HSBC三大品牌最常被冒充，當中 LinkedIn 超越 DHL 成首位。Green…

不論去銀行提款機撳錢，又或使用電腦登入帳戶，很多時也無法避免要使用鍵盤輸入密碼或登入資料。英國格拉斯哥大學研究團隊就指出，只要通過熱能監察鏡頭及AI人工智能系統，就可以憑鍵盤上殘留的熱量還原密碼，就算在一分鐘後偵測熱能，成功率都有 62%。系統甚至能 100% 破解 6 位數字的銀行提款機密碼，非常危險，以後輸入密碼，可能要作狀撳多幾個掣。 在鍵盤上讀取輸入密碼的橋段，曾經在大量電視劇集或電影內出現，不過大部分都是掃描留在輸入裝置上面的指紋，極少會偵測殘餘熱量。英國格拉斯哥大學電腦科學系研究員受到熱能監察鏡頭大跌價啟發，再結合人工智能及機器學習系統，設計出名為 ThermoSecure 的還原密碼方法。 研究員解釋，雖然一般人在鍵盤或 keypad 上輸入密碼，手指尖每次接觸表面材質的時間都很短，但無可避免地會將熱能傳送到表面上，因此只要在極短時間內利用熱能監察鏡頭拍攝鍵盤或 keypad 表面，便能取得曾輸入過的按掣資料及其順序。根據測試，在一分鐘時偵測熱能成功率有 62% ，如在 20 秒內，成功率更飊升至 86%。 研究員說，其實這種技術非常普通，要擷取資料並不困難。但還原密碼的難度在於連續輸入的時間極短，導致熱能變化差距微細，如果單靠人力去分析，除非密碼只得幾個字元，否則便極難做到，因此必須出動人工智能及機器學習，讓系統從大量數據中整理出人類輸入密碼及創建密碼的習慣、常用的密碼字元及組合等，即使是多字元的高強度密碼，也有可能成功還原。從研究員公布的數據可見，系統成功還原…

據全球研究報告指出，超過八成 IT 專業人士表示企業一體化是未來 1 至 2 年的首要任務，SAPBusiness Technology Platform ( BTP ) 是一個將數據及分析、人工智能、應用程式開發，自動整合成為統一的環境，能滿足不同企業業務要求，令業務運行得更為順暢。 免費試用：https://sap.to/6184MeSMG SAP Business Technology Platform助整合 業務運行更流暢 SAP…