雲端應用大行其道，企業在數碼轉型的大趨勢下，都開始進行各種部署，當中網絡安全就是其中一個考慮重點。早前硬體安全模組供應商 nCipher Security 與 Ponemon Institute 聯合發佈了一項名為《2019 港台加密趨勢研究》的調查報告，內裡指出有 48% 港台企業認為員工疏忽為數據安全的首要威脅，另外有 91% 港台企業表示希望數據加密技術可在企業內部及雲端環境中運作使用，反映管理者均意識到保護數據安全的重點——必須掌握主導權，而 BYOK（Bring Your Own Key）就是最可靠的方法。 獨立硬體演算省電腦資源 nCipher Security 大中華區業務總監戴文忠指出，互聯網上各種活動，簡單如發送及接收電郵或瀏覽網站，以至較複雜的電子支付等，都需要在執行指令前進行身份驗證，「舉例每部智能手機都有一張獨立的電子證書，證明這部手機的身份屬實及沒有被冒認，當核實了溝通雙方的身份後，才能執行之後的動作。」為了防止這張電子證書被冒認，製造商必須以數據加密的方法將它「鎖起」及存放起來，實際上就是通過密碼學（Cryptography）的各種演算法例如…

睇得多警訊都知，騙徒手法層出不窮，要避免中招，當然要認清今期流行嘅攻擊手法。網絡安全公司 Kaspersky 剛啱出咗今年第一季度報告，總結電郵騙案嘅手法。結果發現，以下 5 大手法雖然唔算新招，但真係萬試萬靈！ 騙徒手法一：情人節裡出陰招 第一季度最大節日非情人節莫屬，關於送禮嘅騙案特別多，騙徒扮交友或者花店網站 send 訊息俾你，唔單只會提你買禮物送俾另一半，亦有騙徒會溫馨提示男士買定偉哥為佳節做足準備，誓要引到人點擊訊息入面嘅虛假網站連結，再輸入埋信用卡資料就大功告成！ 騙徒手法二：賣有毒蘋果 唔係白雪公主入面嘅女巫先識得用毒蘋果，其實每次蘋果有新產品發佈，都係騙徒搵食時機！Kaspersky 發現三月底蘋果出新產品時，每日中招人數由平時幾千個急升至幾萬個，最高峰嗰日甚至接近八萬人，佢哋大部分都係收到電郵通知，點擊連結後去到假蘋果網站，無防備下輸入 Apple ID 驗證，就咁就俾人呃咗個帳戶資料。如已經綁住信用卡，真係可以瘋狂用嚟購買 iTunes 點數卡㗎。 騙徒手法三：我係嚟幫你整機嘅 而家電腦出問題，十居其九會上網搵技術支援啦。報告指出近來社交媒體同埋討論區出現大量貼文，聲稱可以幫你一次過搞掂幾樣電腦產品問題，而且騙徒仲寫明會收取合理價錢提升可信性，等你唔會以為免費冇好嘢而唔幫襯。最諷刺嘅係，騙徒連 Kaspersky…

黑客的攻擊招數多到離譜，簡單如上網睇戲、購物，都有極大可能踩地雷，可讓黑客暗裝惡意軟件，又或偷走信用卡資料。個人娛樂都算，最慘是現時工作已離不開在互聯網上搵資料，為免公司電腦中招，難道要禁絕員工上網？又或要由公司內聯網隔離一些電腦出來，只供員工上網搵料？瀏覽器隔離（Browser isolation） 技術的出現，就可讓人放心上網，同時又可令電腦免受黑客攻擊。這種技術就連美國國防信息系統局（DISA）亦會於明年全面採用，就知有多強勁可靠。 資安少林寺畢業生 瀏覽器隔離技術，可以簡單地理解為在完全隔離的虛擬機器上執行上網活動，就好似拆彈專家遙控機械人拆炸彈一樣，就算爆炸都不怕炸傷自己。Symantec 於兩年前收購的 Fireglass，其創辦人 Dan Amiga 來頭甚勁，他曾經是以色列國防部（IDF） 8200 部隊的成員，8200 部隊可說是資安界少林寺，很多少「畢業生」都曾經是著名科技公司的創辦人，包括 ICQ、Check Point、Wix、Imperva 等等。 Fireglass 創辦人 Dan Amiga（左）及Symantec…

FIDO 聯盟與 Google 剛於世界通訊大會（MWC）上宣佈 Android 取得 FIDO2 認證，用戶不再需要輸入密碼，就可以用手機及流動裝置登入 app 或網站。任何 Android 7.0 Nougat 或以上版本，更新 Google Play Services 就可以透過手機內建的指紋辨識感測器，或是 FIDO 標準的實體金鑰，登入支援…

繼 GDPR 之後，歐洲再有安全守則出台，由歐洲電信標準協會（ETSI）為 IoT 訂立全球通用安全標準，旨在提升業界安全防線，保障用戶私隱。 新鮮出爐嘅 IoT 安全標準檔案為 《ETSI TS 103 645》，由歐洲電信標準協會（European Telecommunications Standards Institute，ETSI）發布，此標準以英國去年就 IoT 安全發表的建議書為基礎，而英國 BSI（British Standards Institution）去年已就…

駭客攻擊固然可惡，但人為的低級錯誤也本應可以避免，預防爆發一些顯而易見的危機。面對外憂內患，企業又應該如何做好資料保護措施，保障用戶個資免受駭客盜取，同時保全公司免觸犯 GDPR 而被開罰？ 一、定期更新軟體 最基本的就是定期更新軟體。駭客技術雖然日新月異，但 antivirus（防護軟體）或其他軟體同樣與時並進。每次韌體更新除了一般除錯外，也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。 二、加入多重身份認證或生物認證 Broken authentication 是網路資安問題的第二大主因，而要做好身份認證這一步驟，除了傳統輸入密碼以外，現時已經有很多加強保安的驗證方式，比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟，常見的工具有： TOTP (Time-Based One Time Password)：透過時間因素產生不一樣的一次性密碼，像是 Google…

香港《個人資料（私隱）條例》早於 1996 年生效，是亞洲首個全面保障市民私隱的條例，我們，曾經很先進。「但那是二十年多前的事。其他後來者如日本、新加坡則與時並進，不斷修訂，而香港就原地踏步，猶如在用二十年前的電話，很落後。」莫乃光從事資訊科技及電訊業二十多年，見證業界發展，作為立法會議員， 開口埋口都是政策。「政府要改變做事方法，要知道今日的網絡世界如何，要更新政策，拖延下去絕非香港之福。」 香港，未 ready 「香港現在面對的網絡安全問題，基本上與全世界都一樣，其實重點是應對的準備是否足夠，而我覺得香港未足夠。」莫乃光所講的準備，是預防事故發生、準備程度、警力、法例、罰則等。「單是政策及法例，已經有很多需要改善的地方。現在很混亂，例如政府可以用那條法例檢控網絡入侵呢？《電訊條例》用過一兩次，檢控不法偷用電視機頂盒訊號；《截取通訊及監察條例》呢？只能用於本地執法部門，不適用於其他罪犯。再問下去，『不誠實取用電腦』又範圍太闊，實際拘捕最多的可能是偷拍裙底的罪犯。」莫乃光指出，香港現行法例並沒有一條具針對性。檢控方面未完善，至於阻嚇及預防方面，亦有不足。 條例修訂困難重重 私隱條例訂立至今未有大改，原地踏步，尤其對照歐盟 GDPR 更見分野。「GDPR 對個人資料有新定義，香港的定義仍然沿用二十年前的；GDPR 罰則嚴厲，可達公司全年收入的 4%，具阻嚇作用。另外，香港私隱專員的權力、檢控權都很薄弱，都必須檢討。」可喜的是自從國泰等事故之後，政府承諾會在第一季檢討相關政策，研究修訂條例。「不過，過程亦困難重重，凡是會提高成本的條例，商界很多時就本能地反對。而似乎政府害怕商界的反對聲音，多於緊張對市民或消費者的保護。」以往不少條例如商品說明、競爭法等的推動都停滯不前，比其他地方明顯特別落後，是有其原因的。 莫乃光，資訊科技界立法會議員。 政府要支援企業 莫乃光認為政府應該做的另一樣事情，是對企業的支援。「政府投放於創科的金額可以過千億，但沒有任何資助用在網絡安全上。中小企雖然可以申請科技劵，但資助用於改善系統以增強競爭力，就沒有資源做好網絡保安，所以政府應該開出特定的金額，幫助他們做好網絡保安的工作。」莫乃光對政府的評價也並非全盤負面，對警察的執法能力就相當肯定。 支持警方擴軍，籲增透明度 「我覺得警方具備了足夠的能力應對網絡罪案，警方特別擴充部門，成立網絡安全及科技罪案調查科，人手亦每年遞增，我絕對支持。」近年網絡罪案數字不斷上升，加強警力非常合理。「我相信罪犯都明白，今時今日在網上犯案搵錢很容易，風險亦較低。唔通仲揸支槍去打劫？」莫乃光認為唯一的不足，是部門的透明度很低。「其實我沒有足夠資料去討論細節，因為透明度很低。我認為警方可以多與業界及專家交流，讓大眾對警方更有信心。」 網絡安全立法有其利弊…

最近看到網絡媒體報道有一個知名國產電子產品製造商，所開發的一個應用程式，會過度收集手機使用者個人資料， 據報自 2016 年 12 月發佈以來，已在谷歌商店上被下載逾 1,000 萬次。 其實電話程式出現係幫助電話使用者獲得更理想嘅使用體驗，而收集一些輔助性資料以作出更貼身的資訊服務配套，是再好不過的事情。 但魔鬼的細節就此出現了，因為使用該有關程式而收集到的個人資訊，是否單純作為其所聲稱的唯一用途，卻是無從確實。因為由資料被收集的那一刻（可能你也沒有察覺，有關程式何時開始收集及哪些資料正在被收集），到資料被作相關用途之後，資料被存放到哪裡？會存放多久？哪些人可以取存？多久之後會被刪除？期間有關資料是否有合理的保護（如加密）？相關資料是否以安全的方式被傳送？這一切一切都是我們需要知道及有權利知道的重點，否則盲目允許這些程式收集個人資訊，就等於將這些資料無條件雙手奉上予不知名的人士或機構。 套用香港借貸廣告中的標語 — 咪比料中介。手機程式可能只係中介，將你嘅資料轉發畀第三方，從而獲得金錢或其他利益。

新加坡航空於其 Facebook 發帖，警告客戶小心詐騙網頁利用 WhatsApp 訊息，聲稱贈送免費機票，實為惡意網站以套取個人資料。 該訊息假扮新加坡航空公司，以慶祝其周年紀念為名，向客戶進行問卷調查，客戶只需完成問卷並各親友分享訊息，即有機會贏取免費機票。 心水清嘅讀者，一睇就知唔對路。好明顯，用戶 Click 入「Claim Tickets」或 「WhatsApp」，就會引導去一個釣魚網站，目的就係套取用戶個人資料及信用卡資料。暫時知道此訊息只於 WhatsApp 流傳並只於手機瀏覽器運作，現時該釣魚網站已停止運作。新加坡航空呼籲客戶小心提防類似訊息。如發現同類詐騙訊息，可到以下網站舉報：http://singaporeair.com/en_UK/feedback-enquiry/ 此類惡意訊息老是常出現，經典例子莫過於 adidas 送波鞋。迎排國泰航空經常擺烏龍賣平價頭等機票，如果被不法份子利用作惡意訊息，肯定好多人中招。各位務必謹慎小心，光棍佬教仔，便宜莫貪。 資料來源：http://bit.ly/2sufW2k

自 Facebook 被爆 5.33 億用戶數據洩漏，LinkedIn 亦被爆發生洩漏事故！一個據稱包含 5 億個 LinkedIn 個人資料數據存檔，在一個知名的黑客論壇上出售，該貼文的作者又洩漏了另外 200 萬條記錄，作為驗證的樣本。四個洩露的文件包含 LinkedIn 用戶的信息，包括其全名、電郵地址、電話號碼、工作場所等。CyberNews 提供檢查網站（https://cybernews.com/personal-data-leak-check/），讓用戶可檢查有否中招。 在該黑客論壇上，用戶可用大約值 2 美元的論壇積分，查看洩漏的樣本，但黑客似乎正在以拍賣形式處理逾 5 億名用戶的數據庫，並將價格定位為至少…