警方公布,今年首季網絡威脅情報有所下降,但釣魚攻擊增加,佔本地有關網絡威脅情報45.8%,除惡意軟件外,其他網絡威脅項目數目均按年上升。
另一方面,警方將於6月24日至8月30日展開「狩網運動」2024,首100間成功登記及發佈測試任務的機構可獲得最高資助額為1萬元津貼。
各類威脅均增加 惡意軟件除外
今年首季,警方共分析超280萬項網絡威脅情況,其中與本地有關的網絡威脅情報約18758個,同比去年同期下降27%。今年首季本地網絡威脅情報主要分為五類,分別是釣魚網站、惡意軟件、殭屍網絡、黑客操控攻擊伺服器及網頁塗改,其中釣魚網站數量最多為8592條,佔比45.8%,其次是惡意軟件數量為5482條,佔比29.2%,與殭屍網絡有關的數量為4134條,佔比22%。
網絡威脅情況相比去年同期有較顯著的跌幅,主要原因是去年首季惡意軟件的數字偏高,今年首季除惡意軟件數量外,其他項目數量都有所上漲。
網絡安全及科技罪案調查科總警司林焯豪表示,近年包括人工智能在內的新科技興起,令黑客更易製造出更有針對性及隱蔽性的網絡入侵軟件,如缺乏網絡安全保護措施,企業風險會大大增加,同時黑客亦會利用惡意軟件服務進行網絡攻擊。
首4月科技罪案微跌 涉損失金18.6億元
今年首4個月錄得整體科技罪案數字達10113宗,較去年同期下降8宗,損失金額達18.6億,較去年同期上漲3.7%,涉及針對企業的網絡攻擊的案件,包括入侵系統活動案件及勒索軟件案件。今年首四個月警方接獲入侵系統活動案件共14宗,同比去年7宗上升1倍,損失金額達100萬,同比去年下降四成四;接獲勒索軟件案件共17宗,同比去年5宗上升3倍,勒索金額約120萬,比去年降低1成。其中無任何機構交付贖金,企業系統亦都完成修復。
警方將於6月24日至8月30日展開「狩網運動」2024,網絡安全及科技罪案調查科網絡安全組警司陳純青指出,中小企業經常成為網絡攻擊的目標,由警方推動的「狩網運動」2024正是為企業舉辦一年一次的「大體檢」 。「狩網運動」2024採用公私營合作模式,由網絡安全專才於安全平台進行檢測,參與企業會獲提供免費網絡安全漏洞測試、網絡安全報告及一對一專業網絡安全諮詢,令企業可以對症下藥。
「狩網」去年發現197個安全漏洞 四成屬高風險
去年首次與Cyberbay合作舉辦「狩網運動」2023,共吸引60家企業及機構積極參與,超過一半是初創公司或中小企業,三成為非牟利團體及公營機構。活動期間,網絡安全專才共發現197個網絡安全漏洞,其中有一成屬於嚴重漏洞,四成屬於高風險漏洞。
陳純青表示,「狩網運動」2024邀請個人資料私隱專員公署作為戰略夥伴協作舉辦,個人資料私隱專員公署將為參與機構舉辦資料外洩事故後的應對工作坊,也會向機構講解說明個人資料私隱管理。活動結束後,將會頒發電子獎章予修補系統漏洞或擁有良好網絡安全意識的參與機構。
資料外洩事故去年增五成
私隱專員公署數據顯示,2023年資料外洩事故通報157宗,較2022年的105宗增49.52%。
個人資料私隱專員公署首席個人資料主任(合規及查詢)郭正熙表示,資料外洩事故發生,網絡釣魚及未修補保安漏洞事兩個最常見原因。2021年一間公司的電郵系統遭到入侵,經調查後發現電郵系統受到攻擊的原因之一是用戶密碼因為網絡釣魚攻擊而外洩;早兩年亦有兩家公司因防火墻未及時安裝網絡修補程式,導致黑客利用漏洞入侵系統後掌握系統管理權限,成功加密其視伏器中。
目前全球資料外洩事故一直上升,調查顯示,在2013至2022年間,資料外洩事故大幅增加3倍,2023年有研究顯示,77%受訪機構表示在過去一年至少受到一次網絡攻擊。
公署接獲本地資料外洩事故亦呈上升趨勢,在2023年共接獲157宗資料外洩事故,比2022年的105宗上升近五成,當中涉及黑客入侵的資料外洩事故由2022年的29宗大幅增加至2023年的64宗,上升近一倍。
個人資料私隱專員公署首席個人資料主任(合規及查詢)郭正熙
今年首季,公署收到因黑客入侵而導致資料外洩事故佔整體資料外洩事故的三成左右,佔比最多。
而公署針對機構資訊及通訊科技保安措施亦提出指引,列明七大措施,除發出不同指引外,公署亦推出數據安全專題網頁,成立數據安全熱提供資料保安資訊,並推出數據安全快測工具令機構自行檢測。
首100間成功登記及發佈測試任務機構可獲最高資助港幣10,000元津貼
「狩網行動」今年採公私合作模式,合作的私營機構Cyberbay,是位於數碼港的網絡安全初創公司,行政總裁及聯合創辦人簡培欽表示,Cyberbay 致力通過搭建網絡安全任務平台及人工智能體(AI Agent) 技術,為企業提供合資格網絡人才和方法,令網絡安全更平民化及普及化。
他說,很多公司很難找到資源做網絡安全檢測,所以這些企業可能一年甚至兩年才會進行一次檢測,Cyberbay協調合資格網絡安全專才,幫企業找出安全防護上的漏洞及難點。Cyberbay平台的專才,會接受全面的背景審查,達至網絡安全專才與企業間互惠互利的良好生態圈。在今年「狩網運動」中,網絡安全及科技罪案調查科亦會聯同Cyberbay共同嚴格挑選合資格專家參與。
2024「狩網運動」即日起接受相關專才和本港機構報名,並於6月24號至8月30號期間進行。有興趣機構可以通過Cyberbay網站,以公司電郵登記並註冊帳戶,通過平台任務發佈界面,輸入需要檢測系統及證明對系統持有管理員權限,就可以成功發佈任務,接受狩網精英兩個月全天候為公司系統進行網絡安全檢測。
發佈任務後,每兩星期左右會得到總結報告,列出系統有安全風險的地方。同時亦可以購買更加詳盡的報告,得到更多資訊去盡快修補系統漏洞。而在今年活動中,前100間成功登記及發佈測試任務的機構,可獲得最高資助額為港幣10,000元的津貼購買網絡安全漏洞詳盡報告。
