有調查發現,「內部員工」是新興三大網絡威脅之首,其次是供應鏈風險及負面SEO(「搜尋引擎優化」)風險。結果顯示,大半數受訪企業均沒有為員工提供適切培訓,最大原因是近四成企業決策人認為沒有必要,亦有近三成因欠缺資源而束手無策,當中零售行業在結果中多次被指出保安措施不足,面對較高風險。
香港互聯網註冊管理有限公司(HKIRC)發表年度企業網絡安全研究結果,研究早前以問卷訪問本港超過800家不同規模、行業的企業。結果發現內部員工是新興三大網絡威脅之首,有近七成員工坦言自身的網絡安全意識不足。另外81%企業沒有為員工提供定期網絡安全培訓,當中零售、住宿和餐飲及非政府組織等行業更高達近九成,主要原因為沒有迫切需要及欠缺資源作培訓。
缺培訓 內部員工成網絡威脅
另一方面,受訪企業中有59%均有使用第三方服務供應商,當中有五成更與供應商分享客戶及公司數據。HKIRC指,受業務性質使然,非政府組織等行業、零售及製造和進出口行業所面對的供應鏈風險較其它行業高;不過仍有41%並無對第三方供應商採取積極的保安措施,住宿和餐飲(50%)、零售(57%)及非政府組織(59%)等行業尤甚。
HKIRC行政總裁黃家偉提醒,使用第三方供應商的服務,無疑更具成本效益,但要小心供應鏈上黑客滿布,一不留神就會被入侵,影響系統的機密性及完整性,甚至使用戶錯誤下載惡意程式,造成企業更大的損失。
HKIRC又指,受訪者普遍認為只要簽訂「不披露協議書」(NDA) ,供應商便有責任確保客戶及公司資料得到妥善保障,故並無制定其它保護措施。黃家偉建議企業應多管齊下,從多方面推行防範數據外洩的措施,例如限制供應商的存取權限、在交換資料時增設密碼保護,以及定期更新供應商提供的軟件等,以策萬全。
建議限制第三方供應商存取權限
此外,現時大部份企業有利用「搜尋引擎優化」(SEO)提升網站在關鍵字搜尋結果中的排名,但HKIRC提醒,黑客經常用盡千方百計破壞相關部署。研究發現有75%受訪企業未曾聽聞「負面SEO攻擊」,故並無制定相應保安措施應對威脅,削弱企業的防禦能力。
調查結果顯示,受訪企業對黑客常用的「負面SEO攻擊」技倆感到陌生,包括「暗中篡改Robots.txt檔」或「把被懲罰過的域名指向企業網站」等,更有黑客會建立大量惡意連結至受害者的網頁,招數層出不窮,稍不留意就會誤墮陷阱。
HKIRC指,單靠防火牆及防毒軟件並不足以識別潛藏網絡威脅。有半數企業正因為對負面SEO沒有充分認識,並無持續監察網站或域名的安全情況,特別是住宿和餐飲、零售及專業機構,較其它行業容易受到負面SEO攻擊入侵。
HKIRC建議,增加員工定期培訓,並透過網絡釣魚演習量度和評估員工的合規性和行為;使用「保安接層加密技術」(Secure Socket Layer,簡稱SSL),加強保護本身的數據資料,助提升搜尋引擎優化的效果;定期監察公司網站及網域,使用較有公信力網域以減低釣魚網站的風險,增加網絡安全性。@
------------------
🎥【動紀元】每日有片你睇:
https://bit.ly/3PJu3tg
☑️ 登記會員享專屬服務:
https://hk.epochtimes.com/subscribe
☑️ 贊助大紀元:
https://www.epochtimeshk.org/sponsors
☑️ 成為我們的Patron:
https://www.patreon.com/epochtimeshk
------------------
💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand