私隱專員公署表示,去年共接獲157宗涉及資料外洩事故,較前年上升五成,而今年首8個月已收到140宗通報,相當於去年全年的九成,反映資料外洩事故仍處於上升趨勢,呼籲企業及機構要採取足夠的保安措施。
由警務處網絡安全及科技罪案調查科、網絡安全公司及私隱專員公署,合辦的第二屆「狩網運動」,在今年六月至八月,一連兩月免費為153間本地企業、非牟利團體及公營機構等,包括醫管局及港鐵公司,發掘並幫助修正網絡安全漏洞,以及提升對網絡威脅的意識。平台在兩個月內發出逾2000個攻擊預警,找出逾90個漏洞。
「AI密探」及專家助發掘網絡安全漏洞 八成屬高危
網絡安全公司Cyberbay行政總裁及聯合創辦人簡培欽指,今年新增的「AI密探」能為參與企業或機構識別針對他們的攻擊。「AI密探」會持續掃描暗網、網絡安全資源,若發現參與企業數據已被第三方掌握,而能構成針對性的有效攻擊,就會向企業發出攻擊預警。
平台在設計「狩網運動」活動時,參考了私隱專員公署過往針對受網絡攻擊機構發出的報告內容,例如機構沒有啟用多重認證功能導致個人資料外洩,平台針對報告提到的缺失來為企業檢查並提供建議。
平台在兩個月內發出逾2000個攻擊預警,代表第三方或已掌握企業系統的佈局及弱點、用戶資訊、管理員帳戶及密碼等,一旦遭到攻擊會導致大規模數據外洩。
在發出預警後,會由網絡安全專家為企業或機構作深入檢測,最後找出逾90個漏洞並提供整改方案,簡培欽表示,逾90個漏洞中有八成屬高危,這些漏洞十分隱蔽,無法透過正常手段如掃瞄器或自動化工具找出,需憑專家的經驗作判斷。他又說,平常企業至少要花256日找出漏洞並解決問題,而參與該活動的企業或機構只需少於60日就能將高危問題完全解決。
參與機構按專家建議 提升網絡至最嚴謹水平
有參與活動的教育科技企業代表指,公司主要服務有特殊教育需求的人士,建立的「特殊資優中央資料庫系統」儲存了用戶的敏感資料,包括支援服務的紀錄及藥物紀錄等,希望透過參與活動進一步加強網絡安全。
亦有非牟利團體表示,在提供地區康健中心的服務時,收集了市民的敏感資料,團體參與活動後,根據專家建議,將釣魚郵件的封鎖設定提升至最嚴謹的水平,相信有助減低用戶接觸釣魚郵件的機率。
平台吸引逾80網絡安全專才 活動後以收費模式續運作
今屆「狩網運動」參與企業由去年的60間增至153間,參與的網絡安全專家就有逾80人,比去年多三成,主要來自本地,需通過網罪科的認證才能參與。
簡培欽指,平台實行獎金制,企業可免費參與一連兩月的「狩網運動」,專家所獲的獎金由平台支付,但平台於活動完結後仍會運作,並會提供收費計劃。企業可按自身預算向專家付費,每個高危或嚴重漏洞的費用平均是3000元至2萬元;企業亦可選擇向平台支付固定年費約8萬元。