企業策略

HKIRC研究揭示新興三大網絡威脅中小企

香港互聯網註冊管理有限公司 (HKIRC) 日前發表年度企業網絡安全研究結果，揭示新興三大無形網絡安全威脅，分別為內部員工風險、供應鏈風險及負面SEO風險，資源有限的中小企尤須倍加留意。 HKIRC行政總裁黃家偉發佈「對新興網絡風險的安全意識」研究結果，揭示新興三大無形網絡安全威脅。早前HKIRC以問卷訪問了本港超過800家不同規模的企業，他們來自各行各業，包括零售、製造和進出口、住宿和餐飲、培訓和教育、金融服務、專業機構、資訊科技及非政府組織等，是次研究對象中以本港中小企佔大多數。   調查發現，疫情持續加速數碼轉型步伐，各行各業的數碼使用率整體急增63%，培訓和教育行業的增幅最高，達85%。然而，近七成員工坦言自身的網絡安全意識不足，當中培訓和教育、製造和進出口以及零售行業更面臨最大員工風險漏洞，情況教人憂慮。   另外，研究結果顯示，81%企業沒有為員工提供定期網絡安全培訓，零售、住宿和餐飲及非政府組織等行業更高達近九成，主要原因為沒有迫切需要及欠缺資源作培訓。整體而言，儘管企業了解員工可帶來的網絡風險，惟大部分卻忽略了培訓工作的重要性，致使內部員工風險成為新興三大網絡威脅的榜首，當中培訓和教育界所面對的威脅最大，脆弱度達59%。   受訪企業中有59%均有使用第三方服務供應商，當中有五成更與供應商分享客戶及公司數據。受業務性質使然，非政府組織等行業、零售及製造和進出口行業所面對的供應鏈風險較其他行業高。   調查續指，雖然有逾半數受訪者知悉供應鏈攻擊的風險 ，而企業面對其風險的脆弱度亦是新興三大威脅之中最低(12%)，但仍有41%並無對第三方供應商採取積極的保安措施，住宿和餐飲(50%)、零售(57%)及非政府組織(59%)等行業尤甚。受訪者普遍認為只要簽訂「不披露協議書」(NDA) ，供應商便有責任確保客戶及公司資料得到妥善保障，故並無制定其他保護措施。   至今大部分企業都利用「搜尋引擎優化」(SEO) 提升網站在關鍵字搜尋結果中的排名，以增加網上曝光率，創造商機。受訪企業中有六成均重視SEO，特別是教育界及資訊科技界。調查中有75%未曾聽聞「負面SEO攻擊」，故並無制定相應保安措施應對威脅，削弱企業的防禦能力。   有72%受訪企業都知道，木馬程式及病毒入侵會導致SEO排名下降，但對黑客的其他常用技倆卻感到陌生，包括「暗中篡改Robots.txt檔」或「把被懲罰過的域名指向企業網站」等，更有黑客會建立大量惡意連結至受害者的網頁，招數層出不窮，稍不留意就會誤墮陷阱。然而，單靠防火牆及防毒軟件並不足以識別潛藏網絡威脅。有半數企業正因為對負面SEO沒有充分認識，並無持續監察網站或域名的安全情況，特別是住宿和餐飲、零售及專業機構，較其他行業容易受到負面SEO攻擊入侵。 HKIRC行政總裁黃家偉   HKIRC行政總裁黃家偉表示，隨著數碼轉型的步伐一日千里，網絡安全事故也愈趨頻繁；新類型網絡安全危機更在不知不覺中產生，構成無形風險。因此，今年的問卷調查以港企對新興網絡風險的安全意識為主題，讓中小企對症下藥，制定有效策略和推出相關免費支援服務，協助企業跨越網絡安全挑戰，特別是本地中小企。   多方協作 共建安全互聯網環境   根據調查結果，HKIRC建議企業以五招應對，包括：應增加定期培訓，並透過網絡釣魚演習量度和評估員工的合規性和行為， 及使用「保安接層加密技術」(Secure Socket Layer，簡稱SSL) ，以加強保護本身的數據資料，亦有助提升搜尋引擎優化的效果。 定期監察公司網站及網域之外，建議使用較有公信力網域以減低釣魚網站的風險，增加網絡安全性；及使用免費的「網絡安全員工培訓平台」 （Cybersec Training Hub ），可靈活彈性安排培訓課程，提高企業員工的網絡安全意識之餘，完成課程更可獲頒電子證書。 並透過「網絡安全資訊共享夥伴計劃 」（Cybersec Infohub ），共享有關網絡安全資訊，攜手防禦網絡攻擊，推動各行各業緊密協作。           [...]