撰文：李潤茵　本刊記者

香港在騙徒眼中「商機處處」，為企業敲響警鐘。網絡安全狀況不似預期，香港網絡安全事故協調中心（HKCERT）最新數據顯示，截至6月30日，本港保安事故已錄得5462宗，較去年下半年升38%，釣魚攻勢更涉及超過1.9萬個網址，創有紀錄以來最高﹝圖六﹞；

另一邊廂，由生產力局及私隱專員公署共同公布的「香港企業網絡保安準備指數」，去年訪問約300間企業，卻錄得成立以來最大跌幅﹝圖七﹞，當中不乏中小企表示，生意受疫情影響，維護措施打折扣。兩者此消彼長下，為網絡安全埋下隱患。

從源頭對治

面對AI Deepfake騙案來勢洶洶，香港作為金融中心能應付嗎？「理論上，金融行業很講究效率，即是資金往來遇到阻力或摩擦愈少愈好，從這個角度來看，防詐騙、審核是阻力。」科大大數據研究所負責人曹琛提出，更理想是趁勢反用AI防詐。

7月，政府就「關鍵基建電腦系統安全」立法進行諮詢，條例計劃納入8個界別的基礎設施，包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、以及通訊和廣播。此外，亦建議大型體育及表演場地、科研園區等納入規管範圍，確保上述地點系統安全運作。

「企業要滿足金融機構監管，那麼速遞公司、旅行社及補習班等資料外洩怎麼辦？」電腦安全專家賴灼東指出，網絡系統環環緊扣，牽一髮動全身，特別是訓練AI模型涉及大量數據。

賴灼東認為，堵塞資料外洩才是治本，「香港人很重視錢，傳統企業都看ROI（投資報酬率），但從沒想過ROSI（安全投資報酬率），積極賺錢卻沒防守，假設永遠不會發生在自己身上」。

跨國企業不例外。賴灼東曾任職歐資，形容內部網絡保安系統，便是「流水作業交功課」，盡可能降低風險資本（risk capital），但「呃到headquarter（總部），呃唔到attacker（攻擊者）！」

企業hea做源於無王管。舉例網上拍賣平台Carousell因2022年兩宗資料外洩事故，星港罰則天差地別——新加坡控以違反《個人數據保護法》，並罰款約6萬坡元；香港僅發聲明表示遺憾。反觀中國，早有《網絡安全法》及《數據安全法》。

信用監察服務

私隱專員無牙老虎，亡羊補牢未為晚也。面對深偽騙案最怕身份小偷（identity theft），中大信息工程學系教授劉永昌指出，實情外國會提供信用監察服務，內容正是「幫你監察着有無人盜用你身份，然而申請信用卡或借錢，若然有會立即通知你，就是為了保護你」，這類服務通常是資料外洩企業，買給受害客戶作補償。

——節錄自8月號《信報財經月刊》