昔日東方名家筆陣:網絡安全乃數碼經濟基石
今年的施政報告中,提到香港要發展數碼經濟,鞏固香港作為國際創新科技中心,以及促進與大灣區互聯互通;當中更特別提到面對全球網絡攻擊的風險不斷增加,政府會加大力度提升關鍵基礎設施行業的網絡安全保護,並將於明年內提交有關法案。
現在全球先進的經濟體,都強調要發展數碼經濟,科技股更成為不少投資者的心儀對象。要發展數碼經濟,最重要的基礎必然是網絡安全。當很多的經濟活動都在線上進行時,對不同範疇的企業來說,網絡安全就不再單純是資訊科技(IT)技術問題,更加成為了贏取或損失客戶的重要因素,亦關係到企業管治和形象的問題。
企業應對得宜可減傷害
國際網絡保安顧問公司ISTARI曾發表一份研究報告,探討網絡事故對於企業股價的影響。以美國幾間上市公司為例,當它們被披露遭遇網絡攻擊導致數據洩露時,其股價在數星期內暴跌了14至60%之多。
網絡事故導致企業股價下跌,絕不叫人意外。但值得關注的是,並非所有企業都會遭受嚴重的市值損失。例如摩根大通和Norsk Hydro在遭受嚴重網絡攻擊後,股價很快就回升了。為甚麼這些企業的股價在網絡攻擊後可以恢復呢?研究發現,企業對網絡攻擊的應對方式,起了關鍵作用。原來被黑客攻擊,並不一定會導致市值損失,若果企業肯採取適當的應對措施,保護客戶的身份信用,主動開誠布公,以及保持良好的溝通,就有機會減低對股價的負面影響,甚至提升企業形象。對此,本地的上市企業也可借鏡。
在業界中經常說:「企業遭受網絡攻擊,只是時間問題。」故此企業必須未雨綢繆,在遭受攻擊時才能夠有效應對,減輕損失。以下是幾個可以參考的做法。
首先,企業宜制訂應急響應團隊和計劃,負責應對網絡攻擊事件。該團隊應由安全專家、法務人員、公關代表和高級管理人員組成。如果缺乏這方面的知識,可以考慮購買有關的網絡保安專業服務。企業也應制訂一份詳細的應急響應計劃,包括明確的責任分工、聯繫人名單、應對步驟和溝通渠道,以確保在緊急情況下能夠迅速行動。最重要的目標是阻攔攻擊,減低對業務運作影響。計劃需要定期測試,確保可行有效。
第二,宜建立網絡監測系統。部署有效的網絡監測和入侵檢測系統,以實時監控網絡活動和異常行為。這些系統可以幫助及早發現潛在的攻擊,並採取相應的應對措施。
定期進行攻擊模擬演練
第三,加強網絡安全防禦。企業應採取必要的措施來增強網絡安全,包括更新和及時打補丁的操作系統和軟件、使用強密碼和多因素身份驗證、限制員工訪問權限等。
第四,進行網絡攻擊演練。定期進行網絡攻擊模擬演練,可以測試應急響應計劃的有效性和團隊的準備情況,並可發現潛在的漏洞和改進應對策略。
第五,建立災難恢復計劃,以恢復網絡和系統功能;包括定期備份數據、建立災難恢復站點、制訂數據恢復流程等。
加強員工安全意識培訓
第六,增強員工安全意識。開展網絡安全培訓和教育活動,提高員工對網絡威脅和安全實踐的認識;亦應定期向員工進行模擬釣魚郵件測試, 使他們練習識別釣魚郵件和報告可疑活動。
最後,是建立溝通計劃。企業應制訂明確的內部和外部溝通計劃,確保在網絡攻擊事件發生時及時、準確地向相關方溝通。這包括向員工、客戶、 有關監管機構、合作夥伴和媒體提供必要的訊息和更新。
網絡安全環境不斷演變,企業應保持警惕並不斷改進網絡安全措施,定期評估和更新應急響應計劃,學習最新的網絡安全趨勢和最佳實踐。
人人做記者
爆料方法 :
爆料熱線:
(852) 3600 3600
傳 真:
(852) 3600 8800
SMS:
(852) 6500 6500
