港企業網絡保安指數跌幅歷年最大！73%企業曾遇網絡安全攻擊

【網絡安全】2023年「香港企業網絡保安準備指數」錄得歷來最大跌幅，員工網絡保安意識仍需大幅改善，調查更發現，73%的受訪企業在過去12個月內曾遇到最少一類網絡安全攻擊，詳情如下。

指數成立以來錄得最大跌幅

香港個人資料私隱專員公署及香港生產力促進局 ‧ 網絡安全（生產力局 ‧ 網絡安全）共同公布「香港企業網絡保安準備指數及私隱認知度」調查報告結果，「香港企業網絡保安準備指數」錄得47.0點（最高100點），較去年下挫6.3點，亦是自指數成立以來錄得最大跌幅。中小企（43.6點）及大型企業（62.5點）的指數均錄得跌幅，分別下跌7.1點及4.1點。

甚麼是香港企業網絡保安準備指數？

「香港企業網絡保安準備指數」由「保安政策風險評估」、「技術控制」、「流程控制」和「建立員工意識」四個範疇組成。今年，「流程控制」（68.1點）繼續於所有分項指數居首，屬「具管理能力」級別。然而，「技術控制」（55.1點）因較少企業進行系統保安修補管理，而且企業所採取的網絡威脅防禦措施亦有所減少而急挫11.2點，「保安政策風險評估」（39.7點）亦由於較少企業進行網絡保安風險評估而下挫8.9點至歷來低點。另外，「建立員工意識」繼續在25點低位停留，繼續是值得關注的範疇。

按行業而言，金融服務業（64.9點）及資訊和通訊技術業（63.3點）繼續並列「具管理能力」級別，當中資訊和通訊技術業更是唯一於本年錄得指數增幅的行業。另一方面，製造、貿易和物流業（48.6，-8.9點）及零售和旅遊相關行業（33.3，-12.5點）錄得較大跌幅，而後者更跌至「措施不一致」級別。

73%企業曾遇網絡安全攻擊

調查又發現，近四分之三（73%）的受訪企業在過去12個月內曾遇到最少一類網絡安全攻擊，較去年再飆升八個百分點至歷來新高。數字上升主要來自更多中小企受網絡安全攻擊，較去年大幅上升10個百分點。當中，釣魚攻擊繼續是幾乎所有有關企業遇到的最常見的網絡安全攻擊類型（96%）。除網絡釣魚電子郵件（79%）及網絡釣魚電話（35%）等常見主要釣魚攻擊外，調查亦發現網絡釣魚簡訊（34%，+14百分點）及社交媒體釣魚（16%，+6百分點）較去年常見。另外，新興的釣魚攻擊模式，例如使用人工智能（AI）或生成式AI及使用二維碼的釣魚攻擊亦分別錄得9%及8%。

企業在「網絡保安風險評估」有所鬆懈

生產力局數碼轉型部總經理陳仲文表示：「是次調查結果值得關注。一方面，本年的『香港企業網絡安全準備指數』錄得歷來最大跌幅，主要是由於企業在『網絡保安風險評估』有所鬆懈，進行『系統保安修補管理』及採取『網絡威脅防禦措施』亦有所減少。另外，『建立員工意識』分項指數今年繼續在25點低位停留，反映人員的網絡安全意識有急切改善的需要。另一方面，網絡攻擊的情況日益嚴重，在過去12個月曾受網絡攻擊的企業百分比，較去年再度上升八個百分點至73%的歷來新高，當中超過九成有關企業曾受到釣魚攻擊，而釣魚攻擊的方式亦較以往變得更像真且更多樣化。」

網絡攻擊成功由於人員疏忽造成

陳仲文續指：「人類是網絡安全中最薄弱的環節，很多網絡攻擊之所以成功，都是由於人員疏忽而造成。另外，香港電腦保安事故協調中心（HKCERT）的事故報告統計資料顯示，在2023年1月至9月期間，釣魚攻擊的事故報告已佔所有網絡保安事故的一半，可見釣魚攻擊已對網絡保安構成巨大威脅。」

調查亦發現，整體有76%受訪企業認為遵守《個人資料（私隱）條例》（《私隱條例》）「沒有太大困難」，當中更有42%認為「完全沒有困難」，另一方面，「數據處理漸趨複雜」、「缺乏員工知識或教育」及「資源不足」是企業認為遵守《私隱條例》的三大主要挑戰。就香港的個人資料私隱保障水平方面，稍高於一半（51%）的受訪企業持中立態度，而有18%則認為「充足」或「非常充足」。

僅約一半中小企實踐保護私隱及資料保安的措施

整體來說，較多大型企業會推行或採取不同保護私隱及資料保安的措施，例如：

一半大型企業（51%）已開始或完全實施個人資料私隱管理系統（私隱管理系統）
但超過一半中小企（55%）則未有考慮實施。

另一方面，近八成大型企業（79%）已實踐不同保護私隱及資料保安的措施，包括制訂處理個人資料的內部政策、於高級管理層會議上討論和肯定個人資料私隱管理系統的重要性、設有個人資料外洩通報機制及向員工提供有關私隱的培訓等。然而，有實踐保護私隱及資料保安的措施的中小企只得54%。

加強員工培訓及網絡安全意識

個人資料私隱專員鍾麗玲女士表示：「保護個人資料私隱是維護網絡安全不可或缺的一部分，私隱專員公署建議企業，不論大小，應採取保護個人資料私隱的措施，例如實施私隱管理系統及制定個人資料外洩應變計劃及通報機制，加強員工培訓及網絡安全意識，以加強數據治理及數據安全。」