網絡安全風險防不勝防?網上培訓平台助企業有效應對網絡安全威脅
隨著數碼轉型的大趨勢,愈來愈多企業將資訊科技或數碼科技融入業務中。根據去年底的調查發現,逾六成本港中小企表示其業務於過去一年變得更數碼化,然而,這也帶來了數碼安全威脅的挑戰。調查顯示,逾兩成受訪中小企對數碼安全威脅感到憂慮。據香港電腦保安事故協調中心資料,該中心去年共處理8,393宗保安事故,較2021年上升9%。其中,主要事故包括殭屍網絡和網絡釣魚,而且逾六成與電子商貿、網上銀行及加密貨幣有關。
偽冒電郵屢見不鮮 損失可達數百萬元
香港大中華中小企業商會青年事務部主席熊俊碩表示:「本港大部分中小企經營者都知道網絡安全的重要性,並對釣魚電郵多加提防。然而,由於資源有限或對相關知識認識不足,企業很少向員工教育相關知識,這使得員工不自覺地成為企業的潛在漏洞。」熊俊碩指出,隨著互聯網和電郵的普及,尤其中小企業依賴電郵作為與海外客戶溝通的主要渠道。包括他在內的不少會員均曾遇到網絡安全威脅,尤以網絡釣魚最為常見。
熊俊碩指出,他們日常不時會收到一些自稱買家的洽商電郵,「這些『買家』往往使用與我們合作夥伴相似的名字和電郵,甚至冒充相關公司的職員與我們聯絡,要求我們生產並寄出相關貨品給他們。」他舉例說,早前曾收到一家外國超市的電郵,向他們訂購一批價值數百萬港元的貨品。雖然該超市名稱及寄件人均真實存在,但經細心查證後發現該電郵地址與其合作超市的電郵稍有差別,例如加入了個別部門的名稱。最終,他們揭發該宗交易是詐騙,幸避免了損失。
「另外早前有一名商會會員表示,該公司電郵系統遭駭客入侵,並修改其供客戶入帳的銀行戶口資料,導致貨款落入騙徒手中。而由於該駭客更攔截了公司與客戶間的電郵,彼此失去聯絡,最後該會員透過私人電郵聯絡客戶了解情況,才揭發電郵系統被盜用。」熊俊碩表示,類似的事件近年屢見不鮮,而中小企損失的金額往往由數千至數百萬元不等。他坦言,若想避免公司成為「受害者」,企業負責人與員工均需要具備相關的網絡安全防範意識和知識。
善用專業資源 提升會員網絡安全意識
目前,本港約98%的企業是中小企業。然而,熊俊碩重申,由於資源和人力有限,他了解到較少中小企會主動安排員工參加坊間的網絡安全課程,更遑論聘請專責人員或委託第三方供應商處理公司的網絡安全問題。「部分公司經營者可能抱着僥倖心態,直至遭到損失才會認真尋找解決方法。」
根據香港互聯網註冊管理有限公司(HKIRC)去年進行的網絡安全員工培訓調查,不同規模的企業在IT資源和員工接受網絡安全培訓的情況存在明顯差異。在受訪企業中,1-10人的小微企只有約34%設有IT部門或專職員工,遠低於11-50人的中型企業(53%)及50人以上的大型企業(85%)。此外,只有32%小微企表示公司會為新員工入職時提供網絡安全培訓,這一情況低於中型(50%)及大型企業(58%)。值得留意的是,有26%大型企業員工表示,相關培訓只針對高層員工。
為避免被不法之徒有機可乘,熊俊碩表示商會過去數年一直希望舉辦網絡安全活動,提高會員對網絡安全的意識,但坊間的機構提供的培訓都注重較進階的網絡安全技術層面,並不適用於一般員工,因此一直未有行動。直至在去年留意到香港互聯網註冊管理有限公司(HKIRC)推出針對中小企的網絡安全員工培訓平台(Cybersec Training Hub),其培訓理念、內容及方式均十分符合商會的期望,有效針對中小企員工在網絡安全意識薄弱的痛點給予免費且專業的支援。
熊俊碩補充:「Cybersec Training Hub給我的第一印象是User-Friendly及『貼地』,透過影片及互動的題目吸引對『網絡安全』議題缺乏興趣的員工去完成培訓。再加上培訓過程有很多貼近本地工作環境的案例分享,以及一些工作部門的專題培訓,例如會計部、市場部及人力資源部等,令他們能夠易地而處,投入其中。簡單20分鐘的網上自學培訓便能做到我們過往花很多人力物力都未能做到的效果。」
有見及此,香港大中華中小企業商會與HKIRC合作推出商會專屬的培訓網址(hkgcsmeaa.cyberhub.hk),期望會員能透過其Cybersec Training Hub平台降低安全風險,給予會員實際的支持,藉以保障會員的利益。此外,商會亦藉著舉辦不同活動,如研討會及在「香港中小企創新大獎」中加入網絡安全元素,為會員公司提供更多相關資訊。
網上自助培訓平台 助企業降低網絡安全風險
HKIRC網絡安全經理林嘉棋表示,Cybersec Training Hub乃本港首個免費的企業自助網絡安全培訓平台,企業的員工可以自行登入平台(https://cyberhub.hk/),按照平台指引自行學習和接受培訓,即使缺乏IT知識的員工亦可參與。
「平台提供的培訓內容除了實用外,更有本地數據和案例,貼近現實工作環境,可以幫助參與的員工獲得基本網絡安全意識和技能。」林嘉棋指出,參與培訓的員工最後須接受一個小測試,完成和合格後,將可獲得電子證書。
熊俊碩期望,一眾會員公司與其他企業能積極參與商會的活動,及善用HKIRC的網上自助培訓平台,共同提升本港企業員工的網絡安全意識。「改善網絡安全需要公司上下的參與,所以企業經營者除了向同事灌輸正確的網絡安全意識外,更應鼓勵他們學習有關知識,降低因網絡安全帶來的營運風險。」