香港需重點培養網絡攻防人才

近年來，網絡攻擊的頻率和嚴重性不斷增加，數位化和智能化的快速發展，為網絡攻擊提供了更多的機會；當人和組織都越來越依賴互聯網和數據傳輸時，更有助攻擊者能利用這些通道進行入侵和破壞。無論是個人用戶還是大型企業，都變得更易成為攻擊目標，對全球各國和地區都構成了嚴重的威脅，香港也不例外。最近，數碼港就遭黑客入侵後勒索。

網絡攻擊技術不斷演進和提升。黑客不斷創新，開發出更複雜和隱蔽的攻擊手法，利用零日漏洞載入惡意軟件，繼而進行勒索活動。各式各樣的高級威脅，隨著攻擊技術的不斷進步，使得攻擊者能夠更容易地繞過現有的安全防護措施。

全球欠缺網絡攻防人才

香港在網絡攻防人才方面，正面臨著缺乏的挑戰。隨著網絡威脅的增加，對網絡安全專業人才的需求越來越高。可是，不單只是香港，網絡攻防領域的人才供不應求，已成全球性問題，這對維護網絡安全和保護數據資產，具有重大影響。

以下試舉過去較嚴重的網絡事故：

• 2016年台灣某銀行自動櫃員機被駭，盜取自動噴錢7,000萬台幣款項；
• 2018年新加坡保健服務集團遭網絡入侵，導致約有150萬份患者個人資料遭到泄露；
• 2020年新西蘭證交所受網絡攻擊，龐大網上流量令系統不勝負荷，導致暫停交易及停市；
• 2022年澳洲電訊營運商遭網絡攻擊，980萬用戶資料被外洩。

再回看香港：

• 2017年香港旅行社遭網絡入侵，20萬客戶資料外洩，約10%涉及信用卡資料；
• 2018年國泰航空發現約940萬乘客資料的若干資訊系統曾被未獲授權取覽；
• 2022年香港連鎖相片沖印公司無堵塞安全漏洞，導致系統洩62萬客戶資料及遭黑客勒索。
• 2023年數碼港被黑客入侵被盜取400GB資料後進行勒索

應透過本地培育解決人才荒

網絡攻擊威脅對香港的網絡基礎設施、金融機構、企業和個人隱私，造成了巨大的風險。缺乏網絡攻防人才，將使香港變得極其脆弱，容易成為攻擊目標。至於人才何來？相信培養本地人才將可有助解決人才荒問題。本地人才更了解香港特定的網絡環境和法律要求，建立本地專業社群，可按本地企業和組織的需求對接，有效為香港發展提升網絡攻防技術和專業知識。

在國際層面上，如果當地企業和組織能夠有效保護其數據和資產，建立一個網絡安全的氛圍，就可為國際企業提供一個可靠的投資和營商環境，進而促進健康的經濟發展。

以奪旗競賽起動人才培養

為確保香港的網絡安全，培養具備攻防能力的專業人才變得至關重要。目前，香港的各大學、高等教育學院以及中小學，都提供了相關的網絡安全課程和教材。此外，有機構會舉辦「奪旗競賽」（Capture The Flag，簡稱CTF）活動，是一種以競賽形式進行的信息安全活動。參賽者通過解決一系列稱為「任務」或「題目」的技術挑戰，來尋找和「擊中」旗幟（Flag）來獲取分數，有效讓參加者體驗網絡攻防的挑戰。

當然，CTF這類競賽活動，是在受到規範限制的情況下進行攻防，無法完全模擬現實中各類網絡安全威脅。但是，這類活動確實提供了一個優秀的技術平台，能夠激發參加者對網絡攻防的興趣，並有助培養專業人才的成長；可作為香港各資訊安全團體及業界訓練相關本地人才及培育新力軍的起動點。

網絡攻防人才培養，在香港的網絡安全中扮演關鍵角色。培養出具有攻防能力的專業人才，更與提高香港整體網絡安全水平有密切關係。在面對各種挑戰的同時，政府、教育機構、企業和社會各界應攜手合作，共同努力推動香港網絡攻防人才培養的發展，以確保網絡安全並建立穩定的網絡基礎環境。

作者簡介：香港電腦學會網絡安全專家小組執行委員會成員黃詩銘