調查:近七成受訪企業過去一年遭網絡安全攻擊 98% 遇到釣魚攻擊

撰文:江麗盈
出版:更新:

釣魚攻擊很常見,私隱專員公署及生產力局今日(21日)公布「香港企業網絡保安準備指數及AI安全風險」調查報告,發現有69%受訪企業於過去一年內曾遇到最少一類網絡安全攻擊,當中98%表示遇到釣魚攻擊,而最常見的模式仍是網絡釣魚電子郵件,網絡釣魚簡訊亦較以往常見。

報告也指出,香港企業網絡保安準備指數錄得52.8點,較去年上升5.8點,但仍維持於「具基本措施」級別,反映企業仍然有很大的進步空間。員工網絡保安意識的分項指數亦停留在30.9點的低位。報告提出多項建議,包括企業應定期為員工提供培訓、定期進行釣魚測試及網絡安全演習等。

「香港企業網絡保安準備指數及AI安全風險」調查報告指,香港企業網絡保安準備指數錄得52.8點,較去年上升5.8點,但仍維持於「具基本措施」級別。(私隱專員公署提供)

企業網絡保安準備指數較去年升5.8點 仍有進步空間

私隱專員公署及生產力局今日公布「香港企業網絡保安準備指數及AI安全風險」調查報告,結果發現,香港企業網絡保安準備指數錄得52.8點,較去年上升5.8點,但仍維持於「具基本措施」級別,反映企業仍然有很大的進步空間。

以企業規模做劃分,中小企的網絡保安準備指數達48.4點、大型企業則達73.1點,分別較去年上升4.8點及10.6點。

按行業劃分,則以金融服務業的指數最高,達68.3點;零售和旅遊業則最低,只有45.3點。在眾多行業中,只有資訊和通訊技術業的指數下跌,較去年跌4.4點至58.9點。

報告也指出,69%受訪企業於過去一年內曾遇到最少一類網絡安全攻擊,當中98%表示遇到釣魚攻擊。(私隱專員公署提供)

釣魚攻擊最普遍 員工網絡保安意識要提升

報告也指出,69%受訪企業於過去一年內曾遇到最少一類網絡安全攻擊,當中98%表示遇到釣魚攻擊,而最常見的釣魚攻擊模式仍是網絡釣魚電子郵件,網絡釣魚簡訊亦較以往常見。有企業也提到,曾遭受使用二維碼的釣魚攻擊、及使用人工智能(AI)或生成式AI的釣魚攻擊等新興的釣魚攻擊。

報告指,釣魚攻擊仍是相當棘手的問題,但企業可以透過意識教育去預防。然而,在今次調查中,員工網絡保安意識的分項指數停留在30.9點的低位。與此同時,只有35%受訪企業曾在過去一年內進行員工網絡安全意識培訓,並只有24%受訪企業曾進行網絡安全演習。

調查也發現,比起大型企業,中小企就使用AI而提供培訓、制訂AI安全風險政策及個人資料外洩事故應變計劃的情況較不普遍。圖為個人資料私隱專員鍾麗玲。(私隱專員公署提供)

21%受訪企業有用AI 當中不足兩成有訂AI相關資料外洩應變

就使用AI方面,約21%受訪企業現時於營運中使用AI技術,當中約65%已經採用至少一項數據安全防護措施,但只有39%有為員工提供有關AI的培訓、28%已經制訂AI安全風險政策,以及16%已制訂應對AI相關的資料外洩事故應變計劃。

調查也發現,比起大型企業,中小企就使用AI而提供培訓、制訂AI安全風險政策及個人資料外洩事故應變計劃的情況較不普遍:

-52%有使用AI的中小企有為員工提供AI的培訓;大企的相關數字則為82%
-45%有使用AI的中小企已制訂或計劃制訂AI安全風險政策;大企的相關數字為74%
-10%有使用AI的中小企有制訂涵蓋應對AI相關的個人資料外洩事故應變計劃,大企則有26%

報告建議,面對較高風險的中小企應將網絡準備水平提升至「具管理能力」級別。針對人員的網絡安全意識,調查也提出,企業應定期為員工提供培訓、定期進行釣魚測試及網絡安全演習等。

報告也強調,企業須確保安全和負責任地應用AI,包括應利用AI技術檢測及識別網絡安全威脅,並實施自動化應對措施、制訂AI事故應變計劃等。