HKIRC对新兴网络风险的安全意识研究

国际商业新闻[International Business News] – 香港互联网注册管理有限公司 (简称HKIRC) 今天发表年度企业网络安全研究结果,揭示新兴三大无形网络安全威胁,分别为内部员工风险、供应链风险及负面SEO风险,资源有限的中小企尤须倍加留意。

香港互聯網註冊管理有限公司行政總裁黃家偉先生發佈「對新興網絡風險的安全意識」研究結果,揭示新興三大無形網絡安全威脅。
香港互联网注册管理有限公司行政总裁黄家伟先生发布「对新兴网络风险的安全意识」研究结果,揭示新兴三大无形网络安全威胁。

今天的问卷调查发布会以「对新兴网络风险的安全意识」为主题, 详细分析有关研究结果。 早前HKIRC以问卷访问了本港超过800家不同规模的企业,他们来自各行各业,包括零售、制造和进出口、住宿和餐饮、培训和教育、金融服务、专业机构、信息科技及非政府组织等,是次研究对象中以香港中小企占大多数。

HKIRC行政总裁黄家伟表示:「我们致力推动安全的网络环境,过去数年先后针对不同范畴进行研究,深入探讨企业网络安全问题,务求做到与时并进。 随着数码转型的步伐一日千里,网络安全事故也愈趋频繁; 新类型网络安全危机更在不知不觉中产生,构成无形风险。 因此,今年的问卷调查以香港企业’对新兴网络风险的安全意识’为主题,让中小企对症下药,制定有效策略和推出相关免费支持服务,协助企业跨越网络安全挑战,特别是本地中小企。」

新兴三大网络威胁

内部员工风险
使用第三方服务供应商
负面搜索引擎优化”
1. 内部员工风险最高 成新兴三大网络威胁之首

疫情持续加速数码转型步伐,各行各业的数码使用率整体急增63%,培训和教育行业的增幅最高,达85%。 然而,近七成员工坦言自身的网络安全意识不足,当中培训和教育、制造和进出口以及零售行业更面临最大员工风险漏洞,情况教人忧虑。

归根究底,问题症结在于员工培训严重不足。 HKIRC的研究结果显示,81%企业没有为员工提供定期网络安全培训,零售、住宿和餐饮及非政府组织等行业更高达近九成,主要原因为没有迫切需要及欠缺资源作培训。 整体而言,尽管企业了解员工可带来的网络风险,惟大部分却忽略了培训工作的重要性,致使内部员工风险成为新兴三大网络威胁的榜首,当中培训和教育界所面对的威胁最大,脆弱度达59%。

2. 使用第三方服务供应商 网络危机不容忽视

受访企业中有59%均有使用第三方服务供应商,当中有五成更与供应商分享客户及公司数据。 受业务性质使然,非政府组织等行业、零售及制造和进出口行业所面对的供应链风险较其他行业高。

HKIRC行政总裁黄家伟提醒大家,要慎防供应链的安全漏洞:「中小企一般欠缺系统开发资源,使用第三方供应商的服务,无疑是更具成本效益的做法。 但千万要小心供应链上黑客满布,一不留神就会被入侵,影响系统的机密性及完整性; 甚至让用户错误下载恶意程序,造成企业更大损失。”

虽然有逾半数受访者知悉供应链攻击的风险,而企业面对其风险的脆弱度亦是新兴三大威胁之中最低(12%),但仍有41%并无对第三方供应商采取积极的保安措施,住宿和餐饮(50%)、零售(57%)及非政府组织(59%)等行业尤甚。 受访者普遍认为只要签订「不披露协议书」(NDA) ,供应商便有责任确保客户及公司资料得到妥善保障,故并无制定其他保护措施。 黄家伟建议企业应多管齐下,从多方面推行防范数据外泄的措施,例如限制供应商的存取权限、在交换资料时增设密码保护,以及定期更新供应商提供的软件等,以策万全。

3. 搜索引擎优化的双面刃

时至今天,大部分企业都利用「搜索引擎优化」(SEO) 提升网站在关键词搜索结果中的排名,以增加网上曝光率,创造商机。 受访企业中有六成均重视SEO,特别是教育界及资讯科技界。 但有多少人知道,网络黑客经常用尽千方百计破坏企业的SEO部署? 尽管企业认识SEO的作用及优势,但原来有75%未曾听闻负面SEO攻击,故并无制定相应保安措施应对威胁,削弱企业的防御能力。

有72%受访企业都知道,木马程序及病毒入侵会导致SEO排名下降,但对黑客的其他常用技俩却感到陌生,包括「暗中篡改Robots.txt文件」或「把被惩罚过的域名指向企业网站」等,更有黑客会建立大量恶意链接至受害者的网页,招数层出不穷,稍不留意就会误堕陷阱。 然而,单靠防火墙及防毒软件并不足以识别潜藏网络威胁。 有半数企业正因为对负面SEO没有充分认识,并无持续监察网站或域名的安全情况,特别是住宿和餐饮、零售及专业机构,较其他行业容易受到负面SEO攻击入侵。

专家五大建议 提升网络安全的最佳策略

随着数码使用日趋普及,预料企业面对网络安全风险亦会相应增加。 然而,研究发现,即使某特定行业(如金融服务业)风险比其他行业高,只要能加强网络威胁认知,做好保安工作,便可有效降低企业脆弱度,增加韧性。

根据调查结果,HKIRC提出以下提升企业网络安全的最佳策略:

增加定期培训,并通过网络钓鱼演习量度和评估员工的合规性和行为。
使用「保安接层加密技术」(Secure Socket Layer,简称SSL) ,以加强保护本身的数据资料,亦有助提升搜索引擎优化的效果。
定期监察公司网站及域之外,建议使用较有公信力域以减低钓鱼网站的风险,增加网络安全性。
使用免费的’网络安全员工培训平台’(Cybersec Training Hub),可灵活弹性安排培训课程,提高企业员工的网络安全意识之余,完成课程更可获颁电子证书。
透过’网络安全信息共享伙伴计划’(Cybersec Infohub),共享有关网络安全信息,携手防御网络攻击,推动各行各业紧密协作。
与多方协作 共建安全互联网环境

整体而言,面对新兴三大网络威胁,金融服务及资讯科技界的保安能力尤佳,而零售业情况最使人忧心。 尽管如此,内部员工风险成为一众企业面对的最大挑战。 调查结果显示,大半数受访企业均没有为员工提供适切培训,最大原因是近四成企业决策人认为没有必要,亦有近三成因欠缺资源而束手无策。

在数码化的大氛围下,香港企业整体对网络安全威胁的意识虽有所提升,惟企业必须制定行之有效的政策,由培训着手从根本做起,以加强应对网络威胁的防御能力。 展望未来,网络营商环境依然充满挑战,网络安全对企业可持续发展尤为重要。 HKIRC将致力与业界及商会组织加强合作,提供更多免费资源及业内交流,为各界特别是中小企业解答与网络安全相关的问题并提供适切支持,助力构建安全的互联网环境。

关于香港互联网注册管理有限公司

香港互联网注册管理有限公司(HKIRC)为香港特别行政区政府指定的非利润分配、非法定担保有限公司,专责从事香港地区顶级域名(即.hk及.香港)的行政工作。 HKIRC所提供的域名登记类别包括英文的.com.hk、. org.hk、. net.hk、edu.hk、. gov.hk、. idv.hk、. hk,以及中文的. 公司. 香港、. 组织. 香港、. 网络. 香港、. 教育. 香港、. 政府. 香港、. 个人. 香港、. 香港,以及将会在香港推出其他相关域名的服务。

消息来源: 香港互联网注册管理有限公司