撰文:李潤茵 本刊記者
香港在騙徒眼中「商機處處」,為企業敲響警鐘。網絡安全狀況不似預期,香港網絡安全事故協調中心(HKCERT)最新數據顯示,截至6月30日,本港保安事故已錄得5462宗,較去年下半年升38%,釣魚攻勢更涉及超過1.9萬個網址,創有紀錄以來最高﹝圖六﹞;
另一邊廂,由生產力局及私隱專員公署共同公布的「香港企業網絡保安準備指數」,去年訪問約300間企業,卻錄得成立以來最大跌幅﹝圖七﹞,當中不乏中小企表示,生意受疫情影響,維護措施打折扣。兩者此消彼長下,為網絡安全埋下隱患。
從源頭對治
面對AI Deepfake騙案來勢洶洶,香港作為金融中心能應付嗎?「理論上,金融行業很講究效率,即是資金往來遇到阻力或摩擦愈少愈好,從這個角度來看,防詐騙、審核是阻力。」科大大數據研究所負責人曹琛提出,更理想是趁勢反用AI防詐。
7月,政府就「關鍵基建電腦系統安全」立法進行諮詢,條例計劃納入8個界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、以及通訊和廣播。此外,亦建議大型體育及表演場地、科研園區等納入規管範圍,確保上述地點系統安全運作。
「企業要滿足金融機構監管,那麼速遞公司、旅行社及補習班等資料外洩怎麼辦?」電腦安全專家賴灼東指出,網絡系統環環緊扣,牽一髮動全身,特別是訓練AI模型涉及大量數據。
賴灼東認為,堵塞資料外洩才是治本,「香港人很重視錢,傳統企業都看ROI(投資報酬率),但從沒想過ROSI(安全投資報酬率),積極賺錢卻沒防守,假設永遠不會發生在自己身上」。
跨國企業不例外。賴灼東曾任職歐資,形容內部網絡保安系統,便是「流水作業交功課」,盡可能降低風險資本(risk capital),但「呃到headquarter(總部),呃唔到attacker(攻擊者)!」
企業hea做源於無王管。舉例網上拍賣平台Carousell因2022年兩宗資料外洩事故,星港罰則天差地別——新加坡控以違反《個人數據保護法》,並罰款約6萬坡元;香港僅發聲明表示遺憾。反觀中國,早有《網絡安全法》及《數據安全法》。
信用監察服務
私隱專員無牙老虎,亡羊補牢未為晚也。面對深偽騙案最怕身份小偷(identity theft),中大信息工程學系教授劉永昌指出,實情外國會提供信用監察服務,內容正是「幫你監察着有無人盜用你身份,然而申請信用卡或借錢,若然有會立即通知你,就是為了保護你」,這類服務通常是資料外洩企業,買給受害客戶作補償。
——節錄自8月號《信報財經月刊》