11月21日,香港生产力促进局(生产力局)及香港个人资料私隐专员公署(私隐专员公署)共同公布“香港企业保安准备指数及AI安全风险”调查报告结果,“香港企业网络保安准备指数”录得52.8点(最高100点),较去年上升5.8点,重回接近2022年水平,但仍然维持于“具基本措施”级别1,可见企业仍然有很大的进步空间。中小企(48.4点)及大型企业(73.1点)的指数均录得升幅,分别上升4.8点及10.6点,大型企业的指数更升至有纪录以来最高。
生产力局数码转型部总经理陈仲文(右)及个人资料私隐专员钟丽玲(左)共同公布″香港企业网络保安准备指数及AI安全风险″调查报告结果。
香港企业网络保安准备指数
“香港企业网络保安准备指数”由“保安政策及风险评估”、“技术控制”、“流程控制”和“员工网络保安意识”四个范畴组成。在本年度,“流程控制”(70.9点)微升2.8点,继续在所有分项指数居首,属″具管理能力″级别;该分项指数也有上升趋势,由2018年的57.3点,升至本年的70.9点。同样地,“技术控制”(57.3点)也较去年微升2.2点,并由2018年的36.9点,即“措施不一致”级别,上升至57.3点,即“具基本措施”级别。“保安政策及风险评估”(52.1点)于今年大幅回升12.4点,重回“具基本措施”级别。另外,“员工网络保安意识”于今年上升5.7点至30.9点,惟该范畴自2018年仍然属“措施不一致”级别。调查发现,只有三分之一(35%)的受访企业有为员工进行网络安全意识培训,以及只有四分之一(24%)有进行演习以加强员工的网络安全意识;显示企业需在这两方面加强。
行业指数方面,金融服务业(68.3点)继续维持在″具管理能力″级别。不过,零售和旅游相关行业(45.3点,+12.0点)及专业服务业(46.0点,+2.5点)的指数虽有升幅,但仍然是所有行业中最低,且低于50点水平线。
调查显示,近七成(69%)的受访企业在过去12个月内曾遇到至少一类网络安全攻击,较去年稍微下跌四个百分点,但仍高于2022年的水平(65%)。数字的下降主要是由于受网络安全攻击的中小企百分比有所减少,较去年稍跌四个百分点。尽管如此,仍然有超过七成(71%)大型企业受网络安全攻击,与去年数字相若。其中,钓鱼攻击依然是最常见的网络安全攻击类型,98%的企业曾在今年遇过这类攻击,数字按年上升两个百分点。除网络钓鱼电子邮件(79%)及假冒其他机构的网络广告(42%)等常见的钓鱼攻击外,调查也发现网络钓鱼简讯(38%,+4百分点)较去年更为普遍。
生产力局数码转型部总经理陈仲文表示:″本年指数虽然录得回升,但仍只属基本水平。指数改善主要是由于较多企业在今年有进行网络安全风险评估,以及有邀请第三方机构评核IT系统。另外,‘员工网络保安意识‘仍有待加强,员工缺乏意识有可能成为企业网络安全其中一个最大的漏洞,企业应从多方面强化员工的网络安全意识,包括每年为所有员工进行网络安全意识培训,以更新员工对最新网络安全的知识;培训内容也需针对人员进行角色为基础培训。企业也需要定期进行钓鱼测试及网络安全演习,以监测及处理表现较弱的范畴。中小企在考虑提升网络安全级别时也要顾及其风险承担的程度,需要面对的风险越高,他们应该达到的网络安全水平就越高。另一方面,近七成的受访企业在过去12个月曾遇到至少一类网络安全攻击,当中超过九成表示受到网络钓鱼攻击,与去年数字相若。香港网络安全事故协调中心(HKCERT)的事故报告统计资料显示,今年1月至10月期间,HKCERT处理的安全事故总数已达10,020宗,已超越2023年的事故总数,创下历史新高;HKCERT也接获35,379个钓鱼网站的报告,较2023年同比增加了127%,钓鱼攻击的事故报告已占所有网络安全事故的62.22%2。除了提高员工的网络安全意识外,企业可参考HKCERT推出的‘中小企保安事故应变指南’,制定企业网络安全事故应变计划及定期进行安全审计,识别并修补可能存在的安全漏洞。″
生产力局数码转型部总经理陈仲文指出,本年度″香港企业网络保安准备指数″虽然录得回升,但仍只属基本水平。
人工智能(AI)安全与隐私风险调查
今年专题调查探讨受访企业在使用AI方面的情况及所采取的安全风险措施。调查结果发现,近七成企业(69%)认为在运营中使用AI会带来显著的隐私风险。整体来说,约五分之一的企业(21%)现时有在运营中使用AI,而大型企业的使用率则较高,超过四成(43%)。
在运营中使用AI的企业中,约三分之二(65%)有采用至少一项数据安全防护措施,而大型企业的占比更接近八成(79%),显示大型企业比中小企更着重数据安全防护,以确保公司使用AI工具的数据安全。较多企业采用的数据安全防护措施是″存取控制″(41%)及数据保护措施(例如加密数据、将个人资料匿名化)(39%)。不过,较少企业会使用专门针对机器学习攻击的保护措施(14%)或留意与AI相关的安全警报(13%)。
另外,四分之三(75%)在运营中使用AI的企业皆表示使用AI时不会向第三方提供数据,当中,会向第三方提供数据的企业大部分只提供一些公开的数据(14%)及匿名化和聚合数据(8%),显示企业在处理数据方面持谨慎态度。就企业遇到个人资料外泄事故的应变计划方面,虽然有超过六成(61%)在运营中有使用AI的企业有制定针对资料外泄事故的应变计划,但只有少于两成(16%)包含应对AI相关的事故。
调查也发现,大型企业较中小企更积极提供AI相关的培训及制定关于AI安全风险的政策。在运营中使用AI的企业中,有超过八成(82%)大型企业现时有或计划为员工提供有关AI的培训,而有超过七成(74%)大型企业已制定或计划制定关于AI安全风险的政策,但中小企分别只占一半左右(52%及45%)。另一方面,只有少于两成(17%)的受访中小企表示计划在未来12个月内增加使用AI技术以加强数据和网络安全;然而,超过四成大型企业(46%)有相关计划。
个人资料私隐专员钟丽玲表示:″私隐专员公署一直积极推动保障数据安全的工作,今年的’香港企业网络保安准备指数’较去年上升5.8点,当中大型企业的指数更升至有纪录以来最高。而人工智能安全是国家安全的重点领域之一,随着AI应用日渐普及,AI的隐私风险及数据安全不容忽视,企业不论规模大小,均有责任在善用AI之余,采用数据安全防护措施保障个人资料隐私。私隐专员公署鼓励企业参考公署出版的《人工智能(AI):个人资料保障模范框架》,以确保企业采购、实施及使用AI时,遵从《个人资料(私隐)条例》的相关规定,加强保障数据安全。″
个人资料私隐专员钟丽玲介绍人工智能(AI)安全与私隐风险调查的结果。
调查由私隐专员公署委托生产力局独立进行,旨在评估香港企业在应对网络安全威胁及AI安全风险方面是否准备就绪,以及公众对隐私相关议题的意见。最新的调查在2024年9月至10月通过电话访问442间企业,涵盖六个行业3。
生产力局与私隐专员公署共同推出″中小企数据安全培训系列″
为协助中小企加强保障数据安全,生产力局及私隐专员公署将于2025年联合推出数据安全培训系列,主题包括:(i)近年资料外泄个案分享;(ii)资料安全措施建议;及(iii)如何预防及处理资料外泄事故。
私隐专员公署推出″数据安全″套餐
为协助学校、非牟利机构及中小企加强保障数据安全、网络安全,私隐专员公署已推出″数据安全″套餐,参加″数据安全″套餐的机构可免费进行″数据安全快测″,评估其数据安全措施是否足够,并在完成″快测″后享有五个免费名额参加由公署举办的研习班及讲座。此外,公署也已推出″数据安全″专题网页及″数据安全″热线2110 1155,提供相关资讯及协助。有意参加的学校、非牟利机构及中小企可电邮至training@pcpd.org.hk查询。
生产力局推出″网络钓鱼防御服务″
生产力局持续加强对中小企的多元化服务及支持,提升中小企业网络安全意识及防范能力。为进一步加强员工网络安全意识,并协助他们了解网络钓鱼攻击的不同形式及技巧,生产力局推出″网络钓鱼防御服务″。服务除了包括为企业设计网络钓鱼题材/场景,及进行网络钓鱼演练外,也会就演习结果进行分析并提供建议及培训。服务模拟最新钓鱼攻击进行演练,让企业更清楚了解钓鱼攻击的最新发展及攻击技巧。
浏览生产力局″钓鱼防御服务″的服务详情:https://www.hkpc.org/zh-CN/our-services/digital-transformation/cyber-security/phishing-defence-services
注释:
1. 指数级别分为五级,排名由高至低依次为″具前瞻能力″(80-100)、″具管理能力″(60-79)、″具基本措施″(40-59)、″措施不一致″(20-39)及″缺乏意识″(0-19)
2. 资料来源:HKCERT
3. 调查所涵盖的六个行业包括″零售和旅游相关″、″制造、贸易和物流″、″非牟利机构、学校和其他″、″金融服务″、″专业服务″及″资讯和通讯技术″
相关文章