2020 年比特幣以及虛擬貨幣可算是特別的一年，幾年前首次代幣發行 (ICO) 的爆破，接踵而來的是去中心化金融 (Defi) 的興起，而上年美國上市公司微策略 (MicroStrategy) 大手買入比特幣，持倉量超越美國政府，投資總額超過 10 億，MicroStrategy 的股價亦一飛沖天。大勢所趨，虛擬貨幣以比特幣為首已經成為資產類別一部分，很多家庭基金以及機構投資者已經開始及計劃配置資產於虛擬貨幣上。但可惜的是，虛擬貨幣對於這些機構投資者而言，是一樣比較新的東西，要確立虛擬貨幣本身的擁有權，對於機構投資者已經是一大難題，所以對著這些虛擬貨幣，好多機構投資者都是有心無力。退而求其次，這些投資者會選擇買如 MicroStrategy 這樣的概念公司或相關挖礦的公司。 市場上都有投資虛擬貨幣相關的衍生產品，例如是芝加哥商業交易所上市的比特幣期貨，但對於一般大眾投資者而言，期貨是小眾的活動，所以都是以專業投資者為主。一般大眾投資者選擇的是購買 Grayscale 的虛擬貨幣信託基金，道理就是你買信託基金的單位，而信託基金就代你買相對的虛擬貨幣。這些信託基金對大眾參與虛擬貨幣市場、是一個極大的幫助，只要你有證券戶口就可以作買賣，不需要開設虛擬貨幣戶口，不需要解決重新入金的問題。 但是信託基金最大的問題就是基金架構，因為監管問題美國證監會未有批准成立 ETF（指數基金）型的基金形式，今天 Grayscale 用的還是信託基金形式。ETF…

網絡上的不法分子不比現實歹徒善良，只是戰場不一，一宗事故對企業的影響都可以極大。早前有研究指，一宗資料外洩事故平均造成企業 368 萬美元損失，每宗事故的平均停機時間成本，自 2018 年以來，飆升 200％以上，達到 141,000 美元。以香港的情況而言，[01] 在 2019 年 11 月至2020 年 10 月期間，網安事故大多是來自殭屍網絡及釣魚電郵攻擊，分別佔本港市場上的網絡攻擊 52.1%（4,330宗） 及 39.4%（3,277宗）［註1］。在疫情催化下，不少企業推行遙距工作政策，因此需要將資料放到雲端以便工作，亦成為新常態（new normal），但企業所面對的網絡攻擊所引致的資料外洩風險也隨之提高。 智選專家助企業保本及化險爲夷 要為資訊安全漏洞和資料外洩風險做好準備，如果能得到一班可靠的資安專家的協助，為保安事故做好應對準備，必然是最佳解決方案。在 IT 人才短缺的情況下，公司也未必有足夠資源，聘請專責處理事故的人員跟進，加上資料外洩事故時有發生，如果沒有專家解難，長久下去，恐怕會令公司蒙受更大損失。[02] 因此，網絡安全事故應變（Incident Response, IR）服務便應運而生，以應對五花八門的網絡安全問題，而從企業開支的角度來看，成立 IR 團隊可以平均節省 200 萬美元的資料外洩成本［註2］，幫到手之餘又能節省成本！ 網絡風險管理六步曲 有效救火止「洩」 那麼究竟 IR 實際上如何運作及發揮作用？IR 能有系統地處理網絡事故，由一群安全專家針對不同資訊安全狀況，擬定最適切的應對方案及策略。情況就好像消防員來到火警現場，先要評估現場情況，找出起火點，繼而評估受影響範圍，再定出處理策略，以遏制並消除威脅。IR 解決方案引入獲國際認可的網絡安全框架 SANS（美國系統網路安全研究機構）及NIST（美國國家標準技術研究院），並根據企業組織的不同狀況，按照既定流程進行網絡風險管理。網絡安全框架分爲6個應變階段：首先，檢視客戶對網絡安全事故應變的準備程度，並助建立監控及應變機制（準備 Prepare）。在接到客戶網絡安全事故報告後，確認是否事故（鑑定Identify），再繼而評估嚴重性，並快速作回應；確定事件的受影響範圍和嚴重性，控制入侵範圍，避免進一步擴大（遏制 Contain）；繼而分析攻擊來源，再加以清除 （消除 Eradicate），盡可能恢復在事故中損失的數據，協助恢復正常業務運作，並監測攻擊會否捲土重來（恢復 Recovery）；最後，提交初步評估報告，詳述每宗事故所採取的措施及從事故中學習，並可行建議及策略，加強網絡保安能力（檢討 Lesson Learnt）。總括而言，採用 IR 策略，可以降低來自內及外的威脅所帶來的影響，並且找出引起威脅的原因，根除威脅源頭，有利於管理未來的風險。 本地專業團隊24×7支援 隨時候命 HKT 網絡安全事故應變（Incident Response, IR）服務，由新世代網絡安全監控中心（Next Generation Security Operations Center）及本地網絡安全專家團隊，全天候 24×7 支援客戶。專家團隊經驗豐富具備不同範疇的國際標準安全認證資格，例如：GCFA、GPEN、GCIH、GCFE、GCTI、GNFA、GWAFT、GICSP、CISA、OSCP、CISSP、CISM、CCSP、CompTIA Security+、GREM、GXPN、GCIA、GASF、EnCE、ACE，能深入了解不同行業的企業及機構需要。企業尋求協助時，亦毋需受語言不通困擾，而且專家身在處同一時間區域，避免因時差延誤支援而導致損失。專家團隊透過可靠的本地及環球威脅情報，能快速針對漏洞作出應對，有效協助企業處理安全事件，將破壞程度減至最低，避免業務中斷或停止運作。 此IR服務曾為客戶處理在近年十分猖獗，並且針對CEO、高層主管等的變臉郵件詐騙（Business Email…

公司日常運作很多時候要用上不同的應用程式及系統，而遊走各個數據庫，存取資料頻繁，都有機會令數據洩漏的風險增大，而密碼管理也是令企業頭痛的問題。CyberArk Idaptive 方案提供以雲端為本的 IDaaS （identity-as-a-service） 服務，集安全性、簡單性和易於管理及控制的特性於一身， 一個平台便可管理所有帳戶和裝置，對現時遙距工作 BYOD 的情況下，更為合用。是次Webinar 將探討由CyberArk 提供的擴展安全方案、使用 SSO (Single Sign-on) 簡化用戶登入應用程式存取，以及根據裝置內容的 MFA (Multi-Factor Authentication)應用程式存取等。 名額有限，立即報名！ 主題：Workforce Access Security Solution日期：2020 年 12 月 17 日（星期四）時間：3:30pm – 4:30pm語言：廣東話（含英文術語）網上留位：https://bit.ly/3geQJ3R

網絡攻擊愈趨複雜及精密，加上銀行業又是公認的攻擊對象，面對如此高危的環境，香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative， CFI)，通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構（Cyber Resilience Assessment Framework， C-RAF）是一套以風險為基礎的評估框架，內裏的評估項目多達400多項，主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ，評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ；其次會通過審核現有的安全措施，包括監管、偵測機制、保護工具、危機管理及應對政策，以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求，銀行就要按照金管局建議的改善措施提升安全成熟度，直至合符相應的要求。如果金融業的固有風險達到中至高程度，就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…

在新冠肺炎疫情下，由於不能離開香港到其他地方出差或開會，除了每天在公司開視像會議開到頭暈之外，還收到不少政府部門、金融機構和商業伙伴的咨詢。他們關心美國政府主動取消《香港關係法》後，美國政府會不會對高科技產品實行禁運，從而不能在香港安裝使用有關產品？ 本人從事 IT 行業 30 多年，入口無數高科技產品，近 20 年專注高科技產品的業務， 如 HSM、加密軟件、PKI 軟件硬件、Finger Print 讀卡器等等產品，差不多每個星期都同工業貿易署打交道，或可憑自身經驗爲大家提供些參考。 高科技產品=戰略性產品?? 何謂高科技產品？香港工業貿易署是沒有高科技產品清單的，但通常指來自美國的電子及電訊產品，或稱為戰略性產品 （Strategic Product），當中含有高新科技如集成電路、 加密技術、平行計算的硬件和軟件，包括電子遊戲機如 Sony Play…

2019 年，擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts，主動自首承認由 2014 年至 2018 年間，外洩 500 萬住客資料，當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料（即行蹤）、預約日期等，付款資料其實都有外洩，不過有 AES-128 加密。呢單嘢極度震撼，因為 Starwood 沒有交代外洩原因，好難令人唔懷疑同管理失誤有關。而呢件事入面，最無辜（亦係最 Juicy）可能係…

雖然喺香港任職 IT 行業，總逃唔過俾人笑係「 IT 狗」嘅命運，但相信唔少人都認同， IT 業係資訊科技發達下嘅「筍工」，唔單止專業更看似有大好前景。之不過當你以為搶手時，現任 IT 同業竟大吐苦水？ 一項源自 Enterprise Strategic Group (ESG) 以及 International Systems Security Association (ISSA)…

Norsk Hydro ASA，全球最大既鋁金屬生產商，市值高於 550 億美元，業務與廠房遍及全球 50 個國家，員工數目超過 35,000。2019 年 3 月 19 日奧斯陸零晨，這家挪威企業被黑客入侵，匈牙利營運中心職員察覺後，馬上按照保安程序將整個企業斷網， 但黑客係短短兩個鐘，已經「綁架」咗 Hydro 500 個 Server 加 2,700…

在最近幾星期，COVID-19（新型冠狀病毒）危機令數百萬人留在家中，避免外出上班或進行面對面會議。儘管各具體預測的數據不一，但可以肯定的是，全球有多達 50% 的員工正在遙距工作。網上通訊平台已成為個人和企業與世界交流互動必不可少的工具。而憑著近 20% 的全球市場份額，其中Zoom 是最受歡迎的平台之一。 任何流行技術的好處顯而易見，卻也存在著風險。我們都聽說過應用程式使用不當的案例，據年初的 Check Point Research 報告稱，外部人員能夠竊聽私人會議和通話，這可能導致個人數據洩漏或商業間諜行為。 那麼，我們如何在享受 Zoom 帶來的好處的同時免遭主要威脅的影響？以下幾點值得考慮。 1.保持更新 為保持有效的安全性，必須經常更新 Zoom 軟件。科技公司為其產品提供的更新不僅增加了新的選項和功能，還會公佈已發現的「缺陷」和安全漏洞，比如上文提到的具有發現和竊聽會議的能力。重要的是，這與普遍的觀點相反，攻擊者能夠入侵的機會不會在安全漏洞修復後消失，而是在用戶進行軟件更新並收到公司的產品補丁之後才消失。這意味著未更新軟件的用戶仍然容易受到攻擊。 2.使用會議登入密碼 我們對…

由拘捕孟晚舟嗰一刻開始，就知道侵侵政府下定目標，要打擊華為（同埋中國政府）喺電訊設備市場嘅地位，而且侵侵仲不斷拉攏盟友，向華為說不！不過，英國政府正式發新聞稿，表示會「有限度」採用華為設備，侵侵呢個算盤打唔響喇。 呢單消息公布之前幾個禮拜，美國政府已經派出副國家安全顧問 Matt Pottinger 組成嘅代表團出訪倫敦，出力做游說工作。國務卿蓬佩奧、財長努欽亦不停喺國內發表言論，指華為設備對國家安全構成威脅，英國國會亦熱烈討論呢單嘢，結果都係唔能夠令英國跟隨美國步伐，對華為進行制裁。 過去兩年，侵侵極高姿態向「五眼聯盟」盟友（澳洲、新西蘭、加拿大、英國），以及北約盟友（包括德國等歐洲國家）表示，唔應該採用華為設備嚟興建 5G 網絡，以免俾中國政府竊取數據，同時亦不停透過傳媒報導華為勾結北韓、協助打擊疆獨分子、向伊朗出售設備等新聞。而喺英國決定用華為設備後，都仲有三個參議員去信英國政府，話唔想喺英國脫歐之際，重新審視英美自由貿易協定，同埋兩國情報交換機制，希望英國政府三思。 但係睇返今次英國嘅決定，查實考慮得幾周詳：首先所有用嚟傳送數據嘅核心 5G 網絡設備並唔會採用華為，市民有機會用到嘅網絡，華為都只係負責少量機站同埋天線；至於敏感度較高嘅地方例如軍營等等，華為更係唔可以參與，總之英政府就將華為嘅市場佔有率限制喺 35% 以下，確保其他公司如 Nokia、Ericsson 等可以齊齊分一杯羹，算係平衡晒各方面嘅考慮，將潛在風險減至最低。美國嘅輿論就唔係太敢大肆抨擊英政府嘅決定，始終都對兩國緊密關係有所顧忌，同埋希望呢個唔係最終決定，英政府仲有機會改變主意。 唔單止英國，就連德國都陷於兩難情況，無論用唔用華為，就會得失中美其中一方，可能要承受巨大嘅經濟壓力，所以到呢刻都未決定到，而意大利亦傾向學英國「有限度」使用華為設備。歐盟同埋英國國家網絡安全中心亦一齊發出指引，點樣可以同高危廠商（冇指明道姓係華為嘅）一齊興建電訊網絡，仲提供咗可行方法俾其他國家去跟隨；就連美國自己都鬆咗手，國防部阻止咗商貿部禁止當地企業售賣零件俾華為嘅決定，話晒華為每年向美國企業買入110億美元零件，貿然禁賣會令呢批公司減少科研投資，變相令國家失去科技競爭力。 從以上事例可見，用定唔用華為，睇嚟真係唔容易決定，到底美國係唔係真係會制裁採用華為嘅國家？英美兩國關係跟住會點？就要看下回分解！ 資料來源：https://bit.ly/2RSidC0 相關新聞：【侵侵入侵】大量侵侵主題程式蒲頭