本港時事

HKCERT：資訊安全事故4年首升按年升9% 殭屍網絡威脅最大

生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）今日(8日)舉行簡布會，總結2022年香港資訊保安狀況並發布2023年保安預測，更邀請香港理工大學專家學者分享物聯網(IoT)及Web 3.0最新保安風險趨勢。HKCERT最新發布《香港資訊保安展望2023》顯示去年網絡保安事故按年升9%，為4年來首次錄升幅。 報告更提出了2023年必須留意的五大資訊保安風險： 釣魚攻撃盜用身份或憑證： 其中憑證釣魚(Credential Phishing)更是黑客慣常盜用身份的第一步，以騙取用戶的個人敏感資料。另外，黑客亦開始使用新攻擊手法嘗試繞過多重認證(MFA)保安措施。 利用人工智能(AI)的攻擊：對比傳統系統，AI系統具有更深層次、更廣泛的潛在網絡保安風險。例如多個服務使用同一AI模型，當模型受到攻擊篡改，所有使用該模型的服務皆會受到波及。另外，黑客亦會利用AI編寫惡意程式或製作偽造訊息，如影像和聲音，用以散播謠言或勒索。 網絡犯罪服務(Crime-as-a-service)低廉化將吸引更多不法分子使用：隨著網絡犯罪商業模式改變，網絡攻擊已發展成服務形式，大幅減低發動攻擊的門檻。網絡犯罪服務十分廉價，例如低至少於1美元便能購買1,000個被盜取的帳戶。 Web 3.0：其核心概念是「去中心化」，最為人熟悉的應用就是加密貨幣及元宇宙。HKCERT在2022年處理的釣魚連結當中，涉及加密貨幣的佔12%。香港金融管理局將虛擬貨幣交易所納入規管範圍，並規定虛擬資產服務提供者必須在2023年6月1日獲取許可牌照，可見Web 3.0 的保安風險不容忽視。 IoT 廣泛應用產生更多攻擊機會：數碼化帶動「工業4.0」發展，以智能製造幫助企業提升經營效率。「工業4.0」更是推動香港新型工業化的其中一個重要元素，它將IT及運營技術(OT)的系統融合，並往往會應用不同的IoT裝置，將IT及OT系統連接至互聯網，增加了網絡的出入口或網絡介面，帶來新的資訊保安風險及威脅。   HKCERT生產力局數碼轉型部總經理兼HKCERT發言人陳仲文表示，總結2022年香港資訊保安狀況，中心去年共處理8,393宗保安事故，較2021年上升9%，是四年來首次錄得升幅。當中最主要事故為殭屍網絡(4,858宗)，較2021年上升40%；而第二主要事故為網絡釣魚(2,946宗)，雖然較2021年下跌21%，但所涉及的網址URL (15,736條)則上升4%，當中逾六成與電子商貿、網上銀行及加密貨幣有關。 陳仲文表示，過去一年全球經濟活動及商務往來逐漸回復正常，但企業及個人用戶對互聯網和新興科技的依賴卻有增無減，網絡攻擊的方式、數量及複雜程度亦隨之增加。HKCERT會繼續積極研究網絡攻擊趨勢及保安技術，並透過不同途徑，例如發出網絡攻擊預警、保安建議等，協助社會各界應對千變萬化的保安挑戰。 生產力局數碼轉型部總經理兼HKCERT發言人陳仲文(左)總結2022年香港資訊保安狀況並預測2023年五大資訊保安風險，更邀請理大電子計算學系副教授羅夏樸博士(右)分享物聯網(IoT)及Web 3.0最新保安風險趨勢。 [...]