企業網絡風險 7成屬低級錯誤

企業網絡風險 7成屬低級錯誤

【經濟日報專訊】本港今年接連發生多宗企業遭黑客入侵盜取數以萬計客戶資料的事故,反映本港企業對網絡安全和私隱的警覺不足。

羅兵咸永道(PwC)網絡安全和隱私合夥人表示,本港企業遭遇網絡罪行,如勒索、欺詐和偷取資料等呈上升趨勢,企業金錢損失數百萬元起,但7成源於低級錯誤所致。他形容,本港企業網絡安全意識和水平停留在70年代,呼籲企業需提高網絡安全意識,可利用雲端技術加強防禦力。

PwC香港網絡安全和隱私合夥人顏國定稱,本港企業委託的網絡風險偵查個案不斷上升,按年增加4倍,「由以前全年才3、4宗,去年一季有3、4宗,至最近一季已有20宗。」客戶遭遇的網絡罪案如詐騙金錢、盜取數據、勒索等,黑客均以求財為目的,實際金錢損失數百萬元起。

登入無雙重認證 測試未保護
PwC香港網絡安全和隱私總監簡培欽舉例說,企業財務部門和供應商透過電郵商討付款細節,黑客原來早已入侵電郵系統,監察電郵往來,在適當時候假扮供應商要求付款至新帳戶;雖然並非新型攻擊手法,但他留意到愈來愈頻繁,有中招客戶因此損失過千萬元。此外,騎劫挖礦(cryptomining)也是近年發生在本港企業身上的網絡罪案。

發生事故並非黑客高明,兩人表示,7成事故源於企業防衞意識不足,犯下低級錯誤引致,如系統登入毋須雙重認證,又或公司利用客戶資料作測試,但未有保護好測試環境,情況有如將家中夾萬放在屋外走廊。兩成為企業網絡防禦措施追不上黑客技術,黑客火力每日增強,企業卻沒有升級防禦;餘下1成為間諜模式或政治動機,對方入侵純為了解公司動向。

顏認為,港企由上而下的網絡安全意識和知識不足,不少仍用昔日方法管理網絡保安,管理層以為安裝防毒軟件、防火牆就夠,更甚是未定時更新,員工常用公司電郵註冊第三方服務,又重用同一簡易密碼,可說是網絡保安水平停留在70年代。

正所謂預防勝於治療,兩人建議企業要做好密碼管理,密碼要加強複雜度,啟用雙重認證;定期追蹤公司的數碼足印,可利用免費工具,找出公司有多少資料可在網上被搜尋到;採用較新穎防禦措施,如黑客入侵監測軟件,可替企業全天候監察有否被黑客入侵。其團隊最新開發出白帽黑客機械人,自動攻擊企業網絡,替企業查找漏洞(見表)。

中小企資源和網絡保障技能欠奉,可利用第三方的雲端服務,如防火牆、雲端備份,減省成本,同時得到專業保障。顏提醒,企業外判網絡保安工作,不等同將責任外判,不能完全放任不管,仍要注意雙方數據傳輸有否加密等安全問題。

撰文 : 黃蘊華

Look out for further updates on our Facebook fan page!

Related Articles

More