香港IT保安最弱一環:第三方任取數據.員工意識薄弱

| 鍾案平 | 10-04-2019 18:32 |
香港IT保安最弱一環:第三方任取數據.員工意識薄弱

【e-zone 專訊】常說人是任何系統最脆弱一環,出事故往往是「人禍」多於「天災」。生產力促進局剛公布反映香港企業資訊保安準備程度「SSH 香港企業網絡保安準備指數」,發現受訪本地公司雖已「技術控制」(如:部署保安方案)做得較高,但在「員工意識」較差,如未能持續提醒員工保安風險,另容許第三方(如方案外判商)存取公司業務數據而無何監管。

【精選文章】掘礦騎劫攻擊落伍Formjacking.變臉詐騙電郵威脅更大

香港IT保安最弱一環:第三方任取數據.員工意識薄弱
生產力局數碼轉型部高級顧問梁兆昌。

生產力促進局今年 3 月以電話訪問 6 個行業共 350 家企業,由「保安風險評估」、「技術控制」、「流程控制」和「員工意識」4 個範疇評估,得出「SSH 香港企業網絡保安準備指數」。今次調查發現,本港公司平均得 49.3分(滿分 100 分,可接受門檻為 40 分),其中大型企業得 67.3分,中小企只得 45.6 分;其中香港公司「技術控制」較理想,由去年第一屆的 36.9 點升至今屆的 63.4點;其餘 3 個範疇下跌,尤其「員工意識」跌幅最大(29.5 點),低於 40 點的可接受門檻。

【精選文章】雲端威脅四方八面 保安方案需融入網絡

生產力局數碼轉型部高級顧問梁兆昌認為,原因或是去年並未如 2017 年般發生《WannaCry》等「震撼人心」的大規模網絡攻擊,導致企業意識鬆懈,公司管理層雖然會提供保安培訓,但很少會定期通報保安趨勢,員工或以為「戰爭打完」毋須戒備,公司亦無及時提升網絡保安措施。

香港IT保安最弱一環:第三方任取數據.員工意識薄弱
生產力促進局首席數碼總監黎少斌直言,防火牆硬件、防毒軟件作用有限。

此外,「第三方存取」的管理情況亦是網絡漏洞高危點。報告顯示,63% 受訪企業不知怎樣管理給第三方的「特權存取」,使敏感數據隨時被竊取,公司亦未能偵測追蹤「肇事者」,對員工 IT 使用方面的監控反而比第三方更嚴格。「特權存取」是指機構內部人員或第三方夥伴(如:雲端服務商、外判服務商)擁有特殊權力,能在該機構 IT 系統或網絡自由出入甚至存取公司客戶數據。

【相關報道】香港入侵事故去年增55%

生產力促進局首席數碼總監黎少斌直言,防火牆硬件、防毒軟件作用有限,故建議企業可從流程、技術和員工三方面著手改善資訊保安,特別是加強管理第三方網絡保安風險,制定政策或合約條款以規管第三方夥伴,並嚴格控制其存取權,最好是取締「特權存取」的共享帳戶。此外,培訓所有員工和進行定期演習,提高網絡安全意識亦很重要。

【相關報道】中小企網站更易受攻擊 自求多福考心思

Photo:Telstra、
Source:ezone.hk

Page 1 of 9