【加緊防備】香港資安展望 流動支付及供應鏈料攻擊料大增
生產力局(HKPC)公布 2021 年資訊安全展望報告,預料在疫情影響下,針對新科技如 5G、物聯網(IoT)及人工智能會大幅度增加;而因應流動支付愈趨普及,加上虛擬銀行及虛擬金融業的發展,生產力局呼籲,業界應多留意資安資訊,加強保安,用戶也要注意密碼設定和保安措施。該局亦指出 ,供應鏈攻擊會升級,單在去年便增加了 430%,企業應多加留神。
在數碼轉型的新常態下,新技術如 5G、物聯網及人工智能的應用等,可能會導致更多系統或數據流量暴露在不可信的網絡中,以物聯網為例,因為密碼強度太低、通訊未有作加密等,存在保安漏洞,被入侵的風險相應會提高,生產力局建議,應深入了解這類新技術牽涉的保安議題,亦應定期進行網絡保安檢查,評估網絡和系統的保安,及持續監察接觸到互聯網的資訊科技配置。
促企業制定WFH保安指引 提升員工保安意識
生產力局數碼轉型部總經理兼 HKCERT 負責人陳仲文指,企業必須為新常態和新技術制定網絡保安策略,在管理計劃中應包括第三方風險、保護任何暴露於互聯網的系統、採用加強驗證並進行網絡保安檢查和監察;另外,企業需要提高員工的網絡保安意識,以應對攻擊。就供應鏈攻擊繞過企業的保安系統的情況,生產力局解釋,攻擊者會利用企業對合作夥伴的信任,來避開保安防禦,通常使用合法軟件發佈機制,將木馬化的軟件組件發布至 「下游」,令企業用家不慎中招。
Work From Home(WFH)工作安排亦為企業保安系統帶來衝擊,有黑客伺機入侵網絡會議,發放不雅內容,又會趁機攻擊缺乏保護的遙距工作端點,生產力局建議企業制訂新常態下的網絡保安策略,提供在家工作安排的保安指南,保護遙距存取設施和端點,並提高員工保安意識,提防釣魚電郵來襲;定期進行網絡保安檢查,評估網絡和系統的保安;持續監察接觸到互聯網的資訊科技配置。企業可以參考該局製作的在家工作的六大資訊保安建議(https://www.hkcert.org/tc/security-guideline/six-security-tips-for-home-office)及評估遠端存取服務保安指南(https://www.hkcert.org/tc/security-guideline/assessing-the-security-of-remote-access-services-guideline)。
使用虛擬銀行 宜設置單獨使用高強度密碼
而在疫情期間能有效減少人與人之間接觸的流動支付,也存在保安風險,陳仲文提到,有流動支付用家將付款 URL 分享予第三者,造成金錢損失;近期有不少虛擬銀行投入服務,估計會成為攻擊目標,或會面對系統負荷超載、DDoS 攻擊和數據洩漏的攻擊,呼籲流動金融業應注意保安措拖要做足。生產力局 HKCERT 資訊保安顧問羅恩諾亦提醒,使用虛擬銀行服務時,市民宜在開戶時設置高強度密碼,切勿使用與其他帳戶相同的密碼,因為不少黑客攻擊都是憑同一組密碼作攻擊嘗試;他又建議,市民應採納網絡保安相關措施,並留意登入紀錄會否有不尋常之處。
生產力局轄下香港電腦保安事故協調中心 (HKCERT) 在 2020 年共處理 8,346 宗網絡保安事故, 較 2019 年下跌 12%。由於網絡犯罪分子利用疫情增加對線上活動的攻擊,網絡釣魚 (3,483 宗,佔 42%) 較去年上升 35%,殭屍網絡(4,154 宗,佔 50%) 仍然是最多保安事故來源,較去年下跌 16%,惡意軟件則有181 宗(佔 2%)大幅下跌 85%。惡意軟件錄得大幅下跌的主因是其攻擊目標,由個人轉向企業用戶。