探射燈：港淪黑客天堂年損失23億

近月多間旅行社接連被黑客入侵，客戶個人資料可能外洩，更有旅行社遭勒索市值約十萬元比特幣。金怡假期總行政助理李靜怡表示，已就事件報警處理，暫未知受影響人數。她指，電腦系統遭入侵時正進行升級，黑客未必取得重要數據，事前該公司採用二十小時自動監測保安系統，事後已加強保安，由人手二十四小時輪流監測保安系統及數據庫。

IT僱員不足1%專職保安

香港電腦保安事故協調中心公布，去年共處理六千多宗事故，其中以惡意軟件攻擊的事故連續兩年飆升，達到二千多宗，比前年一千多宗大增近八成，該中心預計今年網絡保安事故會繼續上升。中小型機構較易受網絡安全的威脅，該中心經理梁兆昌指出，中小企因資源所限，網絡保安能力各異，連串大型網絡攻擊後，向該中心尋求保安忠告的中小企亦有上升。警方接獲前年科技罪案導致的經濟損失創新高，至逾二十三億港元，平均每宗個案涉三十八萬多元損失。惟職業訓練局數字顯示前年本港八萬多名資訊科技僱員中，只有不足八百名專職於資訊科技保安工作，佔總數不足百分之一。

金怡假期指入侵事件後，已轉由人手廿四小時輪流監測保安系統及數據庫。	佘繼泉指全港有超過九成中小企，缺乏專人負責網絡保安。	李浩然強調，網絡保安不是一般資訊科技界人士可應付。

「香港有超過九成中小企都冇專人負責網絡保安，而係好籠統將所有資訊科技嘢當係一個崗位。以一個飲食集團為例，有千幾個員工，但負責資訊科技嘅就唔超過兩、三個，仲要兼顧網站維護、網頁平面設計、社交媒體營銷等。」香港中小企協會創會會長佘繼泉表示，大部分傳統行業例如製造業、貿易批發業等，管理層均低估網絡安全的重要性，負責的人員比例遠低於合理水平。

普遍中小企資訊保安意識不足，基本的防毒軟件與防火牆亦欠缺。

人心惶惶

顧客資料恐遭偷取出售

「中小企資源唔多，只為求用最少嘅錢請資訊科技人員返嚟維持公司營運，例如設網站擺公司資料上網，方便顧客喺網上做交易；但網絡保安專員就要掌握唔同攻擊手法、檢查軟件同系統有冇漏洞，從而避免帶嚟更多經濟損失！」全球網絡資訊保安方案廠商香港區顧問總監李浩然強調，網絡保安不是一般資訊科技界人士可應付得到，並承認相關人才在行內奇缺。

他舉例，一旦開啟新式勒索軟件如「WannaCry」、「Petya」等，將面臨內部檔案遭加密並且勒索、直接偷取顧客個人資料，或網頁遭到改頭換面甚至引導去欺詐網站，「黑客可以遙距做攻擊，攞完個人身份資料去黑市做買賣，勒索用虛擬貨幣又好難追蹤到」，後果嚴重。

議員促政府增宣傳教育

「近期好多迹象顯示網絡攻擊已經向中小企『埋手』，要求贖金都低咗，幾千到萬幾蚊都有。」資訊科技界立法會議員莫乃光擔心，普遍中小企資訊科技保安意識不足，未必有資訊科技的部門，或過於依賴外判公司提供的簡單服務，無人駐場，「連基本保障好似防毒軟件同防火牆更新都無，但罪犯用自動工具掃一掃就知邊間公司做得唔夠，之後集中入侵！」莫敦促政府從增撥資源和宣傳教育兩方面着手，以提高各行業應對網絡風險的能力。

政府資訊科技總監辦公室回覆指，政府已制訂一套全面的資訊保安政策、標準、指引、程序及相關實務指引，供有關機構使用；並通過舉辦會議、專題研討會和工作坊，提升資訊科技人員的資訊保安技術和知識。警務處網絡安全及科技罪案調查科回覆指，涉及加密勒索軟件的勒索案件由一五年的十四宗，上升至一六年的六十三宗，去年首十個月亦有三十一宗，涉及金額由一五年約八千元，上升至一六年約七萬三千元，至去年首十個月約十一萬三千元。

圖：吳啟偉、李西全

文：劉潔伶