調查：近七成受訪企業過去一年遭網絡安全攻擊　98% 遇到釣魚攻擊

釣魚攻擊很常見，私隱專員公署及生產力局今日（21日）公布「香港企業網絡保安準備指數及AI安全風險」調查報告，發現有69%受訪企業於過去一年內曾遇到最少一類網絡安全攻擊，當中98%表示遇到釣魚攻擊，而最常見的模式仍是網絡釣魚電子郵件，網絡釣魚簡訊亦較以往常見。

報告也指出，香港企業網絡保安準備指數錄得52.8點，較去年上升5.8點，但仍維持於「具基本措施」級別，反映企業仍然有很大的進步空間。員工網絡保安意識的分項指數亦停留在30.9點的低位。報告提出多項建議，包括企業應定期為員工提供培訓、定期進行釣魚測試及網絡安全演習等。

「香港企業網絡保安準備指數及AI安全風險」調查報告指，香港企業網絡保安準備指數錄得52.8點，較去年上升5.8點，但仍維持於「具基本措施」級別。（私隱專員公署提供）

私隱專員公署及生產力局今日公布「香港企業網絡保安準備指數及AI安全風險」調查報告，結果發現，香港企業網絡保安準備指數錄得52.8點，較去年上升5.8點，但仍維持於「具基本措施」級別，反映企業仍然有很大的進步空間。

以企業規模做劃分，中小企的網絡保安準備指數達48.4點、大型企業則達73.1點，分別較去年上升4.8點及10.6點。

按行業劃分，則以金融服務業的指數最高，達68.3點；零售和旅遊業則最低，只有45.3點。在眾多行業中，只有資訊和通訊技術業的指數下跌，較去年跌4.4點至58.9點。

報告也指出，69%受訪企業於過去一年內曾遇到最少一類網絡安全攻擊，當中98%表示遇到釣魚攻擊。（私隱專員公署提供）

報告也指出，69%受訪企業於過去一年內曾遇到最少一類網絡安全攻擊，當中98%表示遇到釣魚攻擊，而最常見的釣魚攻擊模式仍是網絡釣魚電子郵件，網絡釣魚簡訊亦較以往常見。有企業也提到，曾遭受使用二維碼的釣魚攻擊、及使用人工智能（AI）或生成式AI的釣魚攻擊等新興的釣魚攻擊。

報告指，釣魚攻擊仍是相當棘手的問題，但企業可以透過意識教育去預防。然而，在今次調查中，員工網絡保安意識的分項指數停留在30.9點的低位。與此同時，只有35%受訪企業曾在過去一年內進行員工網絡安全意識培訓，並只有24%受訪企業曾進行網絡安全演習。

調查也發現，比起大型企業，中小企就使用AI而提供培訓、制訂AI安全風險政策及個人資料外洩事故應變計劃的情況較不普遍。圖為個人資料私隱專員鍾麗玲。（私隱專員公署提供）

就使用AI方面，約21%受訪企業現時於營運中使用AI技術，當中約65%已經採用至少一項數據安全防護措施，但只有39%有為員工提供有關AI的培訓、28%已經制訂AI安全風險政策，以及16%已制訂應對AI相關的資料外洩事故應變計劃。

調查也發現，比起大型企業，中小企就使用AI而提供培訓、制訂AI安全風險政策及個人資料外洩事故應變計劃的情況較不普遍：

-52%有使用AI的中小企有為員工提供AI的培訓；大企的相關數字則為82%
-45%有使用AI的中小企已制訂或計劃制訂AI安全風險政策；大企的相關數字為74%
-10%有使用AI的中小企有制訂涵蓋應對AI相關的個人資料外洩事故應變計劃，大企則有26%

報告建議，面對較高風險的中小企應將網絡準備水平提升至「具管理能力」級別。針對人員的網絡安全意識，調查也提出，企業應定期為員工提供培訓、定期進行釣魚測試及網絡安全演習等。

報告也強調，企業須確保安全和負責任地應用AI，包括應利用AI技術檢測及識別網絡安全威脅，並實施自動化應對措施、制訂AI事故應變計劃等。