香港私隐专员公署公布网络安全准备度调查结果

文摘   2024-11-29 14:06   北京  

私隐专员公署及生产力局联合发表
2024年「香港企业网络保安准备指数」回升5.8点至接近前年水平
「员工网络保安意识」仍停留较低级别

香港个人资料私隐专员公署(私隐专员公署)及香港生产力促进局(生产力局)今日共同公布「香港企业网络保安准备指数及AI安全风险」调查报告结果,「香港企业网络保安准备指数」录得52.8点(最高100点),较去年上升5.8点,重回接近2022年水平,但仍然维持于「具基本措施」级别1,可见企业仍然有很大的进步空间。中小企(48.4点)及大型企业(73.1点)的指数均录得升幅,分别上升4.8点及10.6点,大型企业的指数更升至有纪录以来最高。
 
香港企业网络保安准备指数
 
「香港企业网络保安准备指数」由「保安政策及风险评估」、「技术控制」、「流程控制」和「员工网络保安意识」四个范畴组成。于本年度,「流程控制」(70.9点)微升2.8点,继续于所有分项指数居首,属「具管理能力」级别;该分项指数亦有上升趋势,由2018年的57.3点,升至本年的70.9点。同样地,「技术控制」(57.3点)亦较去年微升2.2点,并由2018年的36.9点,即「措施不一致」级别,上升至57.3点,即「具基本措施」级别。「保安政策及风险评估」(52.1点)于今年大幅回升12.4点,重回「具基本措施」级别。另外,「员工网络保安意识」于今年上升5.7点至30.9点,惟该范畴自2018年仍然属「措施不一致」级别。调查发现,只有三分之一(35%)的受访企业有为员工进行网络安全意识培训,以及只有四分之一(24%)有进行演习以加强员工的网络安全意识;显示企业需于这两方面加强。
 
行业指数方面,金融服务业(68.3点)继续维持在「具管理能力」级别。不过,零售和旅游相关行业(45.3点,+12.0点)及专业服务业(46.0点,+2.5点)的指数虽有升幅,但仍然是所有行业中最低,且低于50点水平线。
 
调查显示,近七成(69%)的受访企业在过去12个月内曾遇到至少一类网络安全攻击,较去年稍微下跌四个百分点,但仍高于2022年的水平(65%)。数字的下降主要是由于受网络安全攻击的中小企百分比有所减少,较去年稍跌四个百分点。尽管如此,仍然有超过七成(71%)大型企业受网络安全攻击,与去年数字相若。其中,钓鱼攻击依然是最常见的网络安全攻击类型,98%的企业曾在今年遇过这类攻击,数字按年上升两个百分点除网络钓鱼电子邮件(79%)及假冒其他机构的网络广告(42%)等常见的钓鱼攻击外,调查亦发现网络钓鱼简讯(38%,+4百分点)较去年更为普遍。
 
生产力局数码转型部总经理陈仲文表示:「本年指数虽然录得回升,但仍只属基本水平。指数改善主要是由于较多企业于今年有进行网络安全风险评估,以及有邀请第三方机构评核IT系统。另外,『员工网络保安意识』仍有待加强,员工缺乏意识有可能成为企业网络安全其中一个最大的漏洞,企业应从多方面强化员工的网络安全意识,包括每年为所有员工进行网络安全意识培训,以更新员工对最新网络安全的知识;培训内容亦需针对人员进行角色为基础培训。企业亦需要定期进行钓鱼测试及网络安全演习,以监测及处理表现较弱的范畴。中小企于考虑提升网络安全级别时亦要顾及其风险承担的程度,需要面对的风险越高,他们应该达到的网络安全水平就越高。另一方面,近七成的受访企业在过去12个月曾遇到至少一类网络安全攻击,当中超过九成表示受到网络钓鱼攻击,与去年数字相若。香港网络安全事故协调中心(HKCERT)的事故报告统计资料显示,今年1月至10月期间,HKCERT处理的保安事故总数已达10,020宗,已超越2023年的事故总数,创下历史新高;HKCERT亦接获35,379个钓鱼网站的报告,较2023年同比增加了127%,钓鱼攻击的事故报告已佔所有网络安全事故的62.22%2。除了提高员工的网络安全意识外,企业可参考HKCERT推出的『中小企保安事故应变指南,制定企业网络安全事故应变计划及定期进行安全审计,识别并修补可能存在的安全漏洞。」
 
人工智能(AI)安全与私隐风险调查
 
今年专题调查探讨受访企业在使用AI方面的情况及所采取的安全风险措施。调查结果发现,近七成企业(69%)认为在营运中使用AI会带来显着的私隐风险。整体来说,约五分之一的企业(21%)现时有于营运中使用AI,而大型企业的使用率则较高,超过四成(43%)。
 
于营运中使用AI的企业中,约三分之二(65%)有采用至少一项数据安全防护措施,而大型企业的佔比更接近八成(79%),显示大型企业比中小企更着重数据安全防护,以确保公司使用AI工具的数据安全。较多企业采用的数据安全防护措施是「存取控制」(41%)及数据保护措施(例如加密数据、将个人资料匿名化)(39%)。不过,较少企业会使用专门针对机器学习攻击的保护措施(14%)或留意与AI相关的安全警报(13%)。
 
另外,四分之三(75%)在营运中使用AI的企业皆表示使用AI时不会向第三方提供数据,当中,会向第三方提供数据的企业大部分只提供一些公开的数据(14%)及匿名化和聚合数据(8%),显示企业在处理数据方面持谨慎态度。就企业遇到个人资料外洩事故的应变计划方面,虽然有超过六成(61%)于营运中有使用AI的企业有制定针对资料外洩事故的应变计划,但只有少于两成(16%)包含应对AI相关的事故。
 
调查亦发现,大型企业较中小企更积极提供AI相关的培训及制定关于AI安全风险的政策。在营运中使用AI的企业中,有超过八成(82%)大型企业现时有或计划为员工提供有关AI的培训,而有超过七成(74%)大型企业已制定或计划制定关于AI安全风险的政策,但中小企分别只佔一半左右(52%及45%)。另一方面,只有少于两成(17%)的受访中小企表示计划在未来12个月内增加使用AI技术以加强数据和网络安全;然而,超过四成大型企业(46%)有相关计划。
 
个人资料私隐专员钟丽玲表示:「私隐专员公署一直积极推动保障数据安全的工作,今年的『香港企业网络保安准备指数』较去年上升5.8 点,当中大型企业的指数更升至有纪录以来最高。而人工智能安全是国家安全的重点领域之一,随着AI应用日渐普及,AI的私隐风险及数据安全不容忽视,企业不论规模大小,均有责任于善用AI之余,采用数据安全防护措施保障个人资料私隐。私隐专员公署鼓励企业参考公署出版的《人工智能(AI):个人资料保障模范框架》,以确保企业采购、实施及使用AI时,遵从《个人资料(私隐)条例》的相关规定,加强保障数据安全。」
 
调查由私隐专员公署委讬生产力局独立进行,旨在评估香港企业在应对网络保安威胁及AI安全风险方面是否准备就绪,以及公众对私隐相关议题的意见。最新的调查在2024年9月至10月透过电话访问442间企业,涵盖六个行业3
 
请按此下载「香港企业网络保安准备指数及AI安全风险调查2024」调查报告。
 
私隐专员公署与生产力局共同推出「中小企数据安全培训系列」
 
为协助中小企加强保障数据安全,私隐专员公署及生产力局将于2025年联合推出数据安全培训系列,主题包括:(i)近年资料外洩个案分享;(ii)资料保安措施建议;及(iii)如何预防及处理资料外洩事故。
 
私隐专员公署推出「数据安全」套餐
 
为协助学校、非牟利机构及中小企加强保障数据安全、网络安全,私隐专员公署已推出「数据安全」套餐,参加「数据安全」套餐的机构可免费进行「数据安全快测」,评估其数据安全措施是否足够,并在完成「快测」后享有五个免费名额参加由公署举办的研习班及讲座。此外,公署亦已推出「数据安全」专题网页及「数据安全」热线2110 1155,提供相关资讯及协助。有意参加的学校、非牟利机构及中小企可电邮至training@pcpd.org.hk查询。
 
生产力局推出「网络钓鱼防御服务」
 
生产力局持续加强对中小企的多元化服务及支援,提升中小企业网络安全意识及防范能力。为进一步加强员工网络安全意识,并协助他们了解网络钓鱼攻击的不同形式及技巧,生产力局推出「网络钓鱼防御服务」。服务除了包括为企业设计网络钓鱼题材/场景,及进行网络钓鱼演练外,亦会就演习结果进行分析并提供建议及培训。服务模拟最新钓鱼攻击进行演练,让企业更清楚了解钓鱼攻击的最新发展及攻击技巧。
 
浏览生产力局 「网络钓鱼防御服务」的服务详情:
https://www.hkpc.org/zh-HK/our-services/digital-transformation/cyber-security/phishing-defence-services

清华大学智能法治研究院
发布清华大学法学院、清华大学智能法治研究院在“计算法学”(Computational Law)前沿领域的活动信息与研究成果。
 最新文章