參加測試防黑客 企業堵漏獲Q嘜
警方6月至8月辦第二屆狩網運動 邀私隱公署成戰略夥伴
香港遭受黑客網絡攻擊的威脅日益嚴峻,市民資料外洩事故頻發。今年首4個月香港警方錄得的網絡攻擊案件,包括系統入侵和勒索軟件,分別較去年同期上升1倍和3倍。個人資料私隱專員公署今年首季亦接獲36宗資料外洩事故通報,當中近三成涉及黑客入侵。針對企業在網絡安全上缺乏資源和缺乏專業知識兩大痛點,警方今年舉行第二屆狩網運動,呼籲更多企業參加專業網絡安全平台測試,檢測和防堵漏洞。2024狩網運動首次有私隱專員公署參與,向參與機構說明個人資料私隱管理和最佳行事常規,確保參與機構能夠符合監管要求,以及有效地應對網絡攻擊。◆香港文匯報記者 蕭景源
網絡安全及科技罪案調查科總警司林焯豪表示,今年首季,警方分析超過280萬項網絡威脅情報,當中針對香港的攻擊有18,758條,較去年同期下跌27.8%;主要因去年首季釣魚惡意軟件數字偏高,但撇除惡意軟件,其他項目均有升幅。
至於針對企業的網絡攻擊,包括入侵系統和勒索軟件升勢未止。今年首4個月,包括14宗系統入侵較去年同期的7宗上升一倍,損失100萬元;勒索軟件有17宗較去年5宗上升3倍,損失120萬元。其中入侵系統案件,主要涉及3間公司電郵系統遭黑客入侵,黑客假冒公司電郵發放給公司高層,包括總監或財務等信以為真,將金錢轉至黑客賬戶。
林焯豪說,資料外洩網絡威脅從沒有停止,去年有黑客組織利用網絡公眾廣告附載木馬程式,假冒不同品牌,將假網頁推送至置頂,令市民登入搜尋時誤入惡意連結。警方已透過本地和國際渠道,要求不同平台將相關假網頁移除。
私隱專員公署首席個人資料主任(合規及查詢)郭正熙表示,根據調查顯示,由2013至2022年期間資料外洩事故的案件大幅增加3倍。另外,2023年一個研究亦顯示,有77%的受訪機構在過去一年至少受到一次網絡攻擊。公署2023年接獲157宗資料外洩事故,涉及黑客入侵有64宗。今年首季則有36宗資料外洩報告,當中近三成涉及黑客,數字反映網絡攻擊導致資料外洩事故問題嚴峻,不單影響相關的資料當事人,同時亦令機構聲譽受損和蒙受損失。
公署兩指引助處理洩私隱事故
郭正熙提醒有關企業,若私隱專員公署調查發現機構未有採取切實可行步驟保障持有的個人資料,該機構有可能涉及違反私隱條例有關資料保安的規定。公署已訂立兩項指引,分別是資訊及通訊科技的保安指引,以及資料外洩事故處理及通報指引,提醒機構如何妥善處理資料外洩事故,並提供一些實務建議。
網罪科警司陳純青表示,企業經常要面對不同類型的網絡安全風險,例如商業電郵騙案、分散式阻斷服務攻擊(DDoS)、惡意軟件、人為錯誤、系統漏洞未修補、系統配置錯誤等。警方為協助缺乏資源的中小型公司加強網絡防禦,去年與Cyberbay聯手舉行首屆狩網運動,60家參與機構由專才人員協助檢測網絡安全,當中發現197個漏洞,其中有一成是嚴重漏洞,有四成是高風險漏洞。
為機構辦應對工作坊
警方今年6月至8月將舉行第二屆狩網運動,並邀請個人資料私隱專員公署作為戰略夥伴,為參與機構舉辦資料外洩事件後應對工作坊。
此外,為推廣企業於網絡安全方面的參與,在本屆活動完畢後,警方將會頒發電子獎章予積極修補系統漏洞或擁有良好網絡安全意識的參與機構,作為行業Q嘜,藉此為企業的網絡安全增加多一層保護。
與香港有關網絡威脅情報數字
分類 2024年首季 2023年首季
釣魚攻擊 8,592條 7,038條
惡意軟件 5,482條 15,131條
殭屍軟件 4,134條 2,855條
控制伺服器 507條 484條
網頁塗改 43條 2條
資料來源:警務處網絡安全及科技罪案調查科
整理:香港文匯報記者 廖傑堯
私隱專員公署近年接獲資料外洩事故通報數字
年份 宗數 涉黑客入侵佔比
2022年 105宗 29宗(28%)
2023年 157宗 64宗(41%)
2024年(1月至3月)36宗 約10宗(28%)
資料來源:個人資料私隱專員公署
整理:香港文匯報記者 廖傑堯