出事多涉疏忽 企業網絡保安準備遜去年

私隱專員公署及生產力局今年9月透過電話訪問378間企業，計算香港企業網絡保安準備指數，若最高為100點，發現今年只錄得47點。指數主要由「保安政策風險評估」、「技術控制」、「流程控制」和「建立員工意識」4個範疇組成，結果亦顯示，「技術控制」因較少企業進行系統保安修補管理或採取網絡威脅防禦措施，而急挫11.2點。

調查又發現，73%受訪企業在過去12個月內曾遇到至少一類網絡安全攻擊，較去年再升8個百分點至歷年新高，以釣魚攻擊為最常見的網站安全攻擊類型。其中網絡釣魚簡訊及社交媒體釣魚較去年常見；至於使用人工智能或生成式AI及使用二維碼的釣魚攻擊則成為新興現象，分別錄9%和8%。

個人資料私隱專員鍾麗玲認為，保護個人資料私隱與維護網絡安全不可或缺，建議不論大小企業均應實施私隱管理系統，以及制訂個人資料外洩應變計劃和通報機制，加強員工培訓及網絡安全意識，以加強數據治理及數據安全。

生產力局數碼轉型部總經理陳仲文亦認為，很多網絡攻擊之所以成功，都是基於人員疏忽所致，其中「建立員工意識」分行指數，今年繼續於25點低位停留，反映人員的網絡安全意識有急切改善的需要，故強烈建議企業盡快加強員工的網絡安全意識，包括定期為員工提供培訓，甚或定期進行網絡安全演習。