數碼港和消委會等多間機構近月遭黑客入侵，惹起私隱安全隱憂。私隱專員公署及生產力局今日（14日）公布「香港企業網絡保安準備指數及私隱認知度」調查報告，指「香港企網絡保安準備指數」為47點（100分為滿分），較去年下挫6.3點，是自指數成立以來錄得最大跌幅。

調查發現，逾七成受訪企業過去一年間曾遭受網絡安全攻擊，是歷年新高，釣魚攻擊近乎是所有受影響企業最常遇到的網絡安全攻擊類型。私隱專員鍾麗玲表示，截至10月底，今年共接獲119宗資料外洩通報，公署正與政府緊密合作，審視個人資料私隱條例修訂，包括要求強制性通報，並加強罰則水平，引入行政罰款機制，向未有適時通報的企業罰款。

私隱專員公署和生產力局在今年9月以電話訪問378家企業，當中309間屬中小企、69家為大企，涵蓋「零售和旅遊相關」、「非牟利機構、學校和其他」、金融服務、「資訊和通訊技術」等。

員工網絡安全意識最低分　保安政策指數跌至低點

報告分成4大範疇，包括「保安政策風險評估」、「技術控制」、「流程控制」 和「建立員工意識」，最新調查指，4大範疇中表現最差的範疇為「建立員工意識」，指數維持在25點低水平，報告認為是值得關注的範疇；其次則為「保安政策風險評估」則為39.7點，按年下挫8.9點，成為歷史低點，顯示較少企業進行網絡保安風險評估。

至於「技術控制」則為55.1點，報告指，較少企業進行系統保安修補管理，而且企業所採取的網絡威脅防禦措施，亦有所減少而急挫11.2點；「流程控制」達68.1點，是所有分項中最高，屬「具管理能力」級別。

報告指，按行業而言，金融服務業（64.9點）及資訊和通訊技術業（63.3點）繼續並列「具管理能力」級別，當中資訊和通訊技術業更是唯一於本年錄得指數增幅的行業。惟製造、貿易和物流業（48.6，按年跌8.9點）及零售和旅遊相關行業（33.3，按年跌12.5點）錄得較大跌幅，而後者更跌至「措施不一致」級別。

調查又發現，73%受訪企業在過去12個月內曾遇到最少一類網絡安全攻擊，較去年再飆升8個百分點，至歷來新高。

96%企業遭釣魚攻擊

報告提到，網絡安全攻擊升幅主要來自更多中小企受網絡安全攻擊，較去年大幅上升10個百分點，當中釣魚攻擊是最常見的網絡安全攻擊類型（96%），相關攻擊類型包括：

。網絡釣魚電子郵件（79%，-4百份點）
。假冒其他機構的網絡廣告（45%，新攻擊方式）
。網絡釣魚電話（35%，+3百份點）
。網絡釣魚簡訊（34%，+14百分點）
。社交媒體釣魚（16%，+6百分點）
。人工智能（AI）或生成式AI（9%，新攻擊方式）
。使用二維碼的釣魚攻擊（8%，新攻擊方式）

生產力局數碼轉型部總經理陳仲文表示，「香港企業網絡安全準備指數」在今年錄得最大跌幅，認為調查結果值得關注，認為主要是企業在「網絡保安風險評估」有所鬆懈，進行「系統保安修補管理」及採取「網絡威脅防禦措施」亦有所減少，加上「建立員工意識」分項指數繼續維持在低水平，反映人員的網絡安全意識有急切改善需要。他建議員工應對電郵或訊息等，採用「零信走」概念，再三核實對方的身份，以免遭受攻擊。

他續指，釣魚攻擊方式較以往變得更像真，而且多樣化，例如可以AI模仿樣貌和聲音，而AI編寫的黑客電郵亦較以往像真，更難辨別真偽，部份釣魚攻擊是針對員工個人，亦有是偽冒銀行等商業夥伴，要求員工登入部份網站。

研修訂行政罰款機制　向未有適時通報企業罰款

私隱專員鍾麗玲補充指，攻擊企業的網上服務帳戶是新的攻擊類型，17%受訪企業受到相關攻擊，「有啲網上帳戶佢係有電郵，或者佢睇到網址係帳戶係畀用家開，呢個就會畀人攻擊，又例如假扮用戶，嘗試去攞一啲企業資料。」她表示，私隱專員公署和生產力促進局均會為企業提供培訓和免費資源，亦會加強宣傳，以加強企業的網絡安全意識。

她續指，截至10月底，今年共接獲119宗資料外洩通報，公署正與政府緊密合作，審視個人資料私隱條例修訂，包括要求強制性通報，並加強罰則水平，引入行政罰款機制，向未有適時通報的企業罰款。