生產力局及私隱專員公署:香港員工網絡保安意識仍低
香港生產力促進局及香港個人資料私隱專員公署共同公布「香港企業網絡保安準備指數及AI安全風險」調查報告,「香港企業網絡保安準備指數」錄得52.8點 (最高100點),較去年上升5.8點,重回接近2022年水平,但仍然維持於「具基本措施」級別1,可見企業仍然有很大的進步空間。中小企 (48.4點) 及大型企業 (73.1點) 的指數均錄得升幅,分別上升4.8點及10.6點,大型企業的指數更升至有紀錄以來最高。
香港企業網絡保安準備指數
「香港企業網絡保安準備指數」由「保安政策及風險評估」、「技術控制」、「流程控制」和「員工網絡保安意識」四個範疇組成。於本年度,「流程控制」(70.9點) 微升2.8點,繼續於所有分項指數居首,屬「具管理能力」級別;該分項指數亦有上升趨勢,由2018年的57.3點,升至本年的70.9點。同樣地,「技術控制」(57.3點) 亦較去年微升2.2點,並由2018年的36.9點,即「措施不一致」級別,上升至57.3點,即「具基本措施」級別。「保安政策及風險評估」(52.1點) 於今年大幅回升12.4點,重回「具基本措施」級別。另外,「員工網絡保安意識」於今年上升5.7點至30.9點,惟該範疇自2018年仍然屬「措施不一致」級別。調查發現,只有三分之一 (35%) 的受訪企業有為員工進行網絡安全意識培訓,以及只有四分之一 (24%) 有進行演習以加強員工的網絡安全意識;顯示企業需於這兩方面加強。
行業指數方面,金融服務業 (68.3點) 繼續維持在「具管理能力」級別。不過,零售和旅遊相關行業 (45.3點,+12.0點) 及專業服務業 (46.0點,+2.5點) 的指數雖有升幅,但仍然是所有行業中最低,且低於50點水平線。
調查顯示,近七成 (69%) 的受訪企業在過去12個月內曾遇到至少一類網絡安全攻擊,較去年稍微下跌四個百分點,但仍高於2022年的水平 (65%)。數字的下降主要是由於受網絡安全攻擊的中小企百分比有所減少,較去年稍跌四個百分點。儘管如此,仍然有超過七成 (71%) 大型企業受網絡安全攻擊,與去年數字相若。其中,釣魚攻擊依然是最常見的網絡安全攻擊類型,98%的企業曾在今年遇過這類攻擊,數字按年上升兩個百分點。除網絡釣魚電子郵件 (79%) 及假冒其他機構的網絡廣告 (42%) 等常見的釣魚攻擊外,調查亦發現網絡釣魚簡訊 (38%,+4百分點) 較去年更為普遍。
生產力局數碼轉型部總經理陳仲文表示:「本年指數雖然錄得回升,但仍只屬基本水平。『員工網絡保安意識』仍有待加強,員工缺乏意識有可能成為企業網絡安全其中一個最大的漏洞,企業應從多方面強化員工的網絡安全意識,包括每年為所有員工進行網絡安全意識培訓,以更新員工對最新網絡安全的知識;培訓內容亦需針對人員進行角色為基礎培訓。」
陳仲文續說:「中小企於考慮提升網絡安全級別時亦要顧及其風險承擔的程度,需要面對的風險越高,他們應該達到的網絡安全水平就越高。今年1月至10月期間,香港網絡安全事故協調中心 (HKCERT) 處理的保安事故總數已達10,020宗,已超越2023年的事故總數,創下歷史新高;HKCERT亦接獲35,379個釣魚網站的報告,較2023年同比增加了127%,釣魚攻擊的事故報告已佔所有網絡安全事故的62.22%2。除了提高員工的網絡安全意識外,企業可參考HKCERT推出的『中小企保安事故應變指南』,制定企業網絡安全事故應變計劃及定期進行安全審計,識別並修補可能存在的安全漏洞。」
人工智能安全與私隱風險調查
今年專題調查探討受訪企業在使用AI方面的情況及所採取的安全風險措施。調查結果發現,近七成企業 (69%) 認為在營運中使用AI會帶來顯著的私隱風險。整體來說,約五分之一的企業 (21%) 現時有於營運中使用AI,而大型企業的使用率則較高,超過四成 (43%)。
於營運中使用AI的企業中,約三分之二 (65%) 有採用至少一項數據安全防護措施,而大型企業的佔比更接近八成 (79%) ,顯示大型企業比中小企更著重數據安全防護,以確保公司使用AI工具的數據安全。較多企業採用的數據安全防護措施是「存取控制」(41%) 及數據保護措施 (例如加密數據、將個人資料匿名化)(39%)。不過,較少企業會使用專門針對機器學習攻擊的保護措施 (14%) 或留意與AI相關的安全警報 (13%)。
另外,四分之三 (75%) 在營運中使用AI的企業皆表示使用AI時不會向第三方提供數據,當中,會向第三方提供數據的企業大部分只提供一些公開的數據 (14%) 及匿名化和聚合數據 (8%),顯示企業在處理數據方面持謹慎態度。就企業遇到個人資料外洩事故的應變計劃方面,雖然有超過六成 (61%) 於營運中有使用AI的企業有制定針對資料外洩事故的應變計劃,但只有少於兩成 (16%) 包含應對AI相關的事故。
調查亦發現,大型企業較中小企更積極提供AI相關的培訓及制定關於AI安全風險的政策。在營運中使用AI的企業中,有超過八成 (82%) 大型企業現時有或計劃為員工提供有關AI的培訓,而有超過七成 (74%) 大型企業已制定或計劃制定關於AI安全風險的政策,但中小企分別只佔一半左右 (52%及45%)。另一方面,只有少於兩成 (17%) 的受訪中小企表示計劃在未來12個月內增加使用AI技術以加強數據和網絡安全;然而,超過四成大型企業 (46%) 有相關計劃。
個人資料私隱專員鍾麗玲表示:「今年的『香港企業網絡保安準備指數』較去年上升5.8 點,當中大型企業的指數更升至有紀錄以來最高。而人工智能安全是國家安全的重點領域之一,隨著AI應用日漸普及,AI的私隱風險及數據安全不容忽視,企業不論規模大小,均有責任於善用AI之餘,採用數據安全防護措施保障個人資料私隱。」
調查由私隱專員公署委託生產力局獨立進行,旨在評估香港企業在應對網絡保安威脅及AI安全風險方面是否準備就緒,以及公眾對私隱相關議題的意見。最新的調查在2024年9月至10月透過電話訪問442間企業,涵蓋六個行業3。
1 指數級別分為五級,排名由高至低依次為「具前瞻能力」(80-100)、「具管理能力」(60-79)、「具基本措施」(40-59)、「措施不一致」(20-39)及「缺乏意識」(0-19)
2 資料來源:HKCERT
3 調查所涵蓋的六個行業包括「零售和旅遊相關」、「製造、貿易和物流」、「非牟利機構、學校和其他」、「金融服務」、「專業服務」及「資訊和通訊技術」
