公司的數據有多安全？將其放上雲端，面臨的風險是否差不多？以上問題經常令資訊安全專業人員寢食難安。這也難怪，因為許多企業以為儲存於雲端基建內的數據不會外洩，但事實證明這種想法是大錯特錯。實際上，公共雲滋生出新的攻擊趨勢，而早前 Sophos 針對 Amazon Web Services （AWS） 數據中心進行的研究，正好印證網絡罪犯在這方面的行動有多迅速。 公共雲的風險有多高？ 安全研究人員可透過雲端蜜罐（一種網絡攻擊目標模仿系統）來監察出網絡犯罪行為，而 Sophos 便在 AWS 全球其中 10 個最受歡迎的數據中心設置蜜罐，啟動後不消一分鐘（52秒）， 即有蜜罐遭受攻擊；30 日後，每個蜜罐錄得平均每分鐘被攻擊高達 13次。 我們的研究顯示，網絡罪犯現時積極尋找脆弱或開放的雲端目標來入侵，甚至會利用自動化工具以求迅速得手。雖然這並不代表企業採用公共雲就一定會陷入危機，但研究結果反映出，如企業要享有公共雲帶來的優勢，就必須確保轄下數據的安全，亦即是要注重智能可視度、法規遵循以及人工智能監控。…

被稱為全球現時最嚴厲的私隱保障及安全法規，歐盟《一般資料保護規則 》（GDPR） 已實施超過一年。此規則旨在為歐盟公民個人資料的儲存和處理，提供更好的保障，但仍然有許多公司未有對此嚴格遵守，當中包括歐洲以外的知名公司。 例如，美國酒店連鎖巨頭萬豪國際集團 （Marriott International）因駭客盜取了 3.83 億條客人訂房記錄，結果要面對 1.25 億美元巨額罰款；谷歌亦因其用戶意見征求政策，以及未對使用用戶信息進行足夠監管，而被罰款 5,680 萬美元。 儘管以上案件備受矚目，全球任何機構在針對或收集與歐盟成員國家人民有關的資料的行為上，亦必須嚴格遵守 GDPR，只要有任何一個客戶屬於歐盟公民，都要遵守該新法，但香港一些公司仍然以為這法規與其業務運作無關。事實上，歐盟是香港的第二大的貿易夥伴，排名僅次於中國內地；在香港，市面上更有逾 2,200 家來自歐盟國家的公司正在進行業務。 為幫助本地企業遵守 GDPR，香港電腦保安事故協調中心（HKCERT）已經找出可造成資料外洩的四種主要網絡攻擊，若採取適當的保安措施，便可以減低其影響。這些攻擊包括： 網絡釣魚攻擊：網絡釣魚是最常見的攻擊手法之一，有很高的騙取用戶憑證成功率。因此，應定期進行用戶意識培訓，以保持工作人員對可疑網站和電子郵件的高度警惕。利用系統漏洞攻擊：實施計劃周全的修補程式更新管理，包括修補程式更新週期，例如在推出到生產環境之前在預備環境進行「用戶接受度測試」（UAT），以及訂立針對終止支援的系統的適當退出計劃，對防止攻擊者通過舊版或未進行修補程式更新的系統損害公司網絡，尤關重要。若企業因一些實際的理由而無法替代舊版系統，便需要一層額外的保護（即防火牆）來控制和監視對它的訪問。來自不可信的網路的攻擊：一旦員工試圖通過公開的網絡（例如互聯網或公共 Wi-Fi）進入公司網絡，資料外洩的風險就會大大增加，例如設備丟失、會話劫持等，所以必須應用嚴格的身份驗證，例如雙重驗證、使用 VPN…

平常一聽到同銀行有關嘅運作程序，一定覺得會安全到不得了㗎啦，但接二連三嘅事實話俾大家知，無論間公司有幾大，規管有幾嚴謹，都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank（加拿大豐業銀行）近日被揭發出低級網絡安全錯誤，低級嘅程度更直逼「布偶級」（muppet-grade），大家明啦！ 日前網絡安全研究員 Jason Coulls 揭發，加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案，當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼，後台服務及數據庫實例嘅登錄憑證、原始編碼等，簡直係黑客金庫。 Scotiabank 嘅回應當然都估到，首先話呢啲資料並不會危及客戶、員工或合作夥伴，又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定，銀行出事就要即刻通報，加拿大金融機構監管辦公室方面就已接獲通知，正密切監察事態發展。 GitHub 於去年被 Microsoft 收購，成一時佳話。除咗極多開發者會用，亦有唔少企業機構都會用，因此，保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入，會喺開發階段將…

根據華盛頓郵報報導，加州州長 Gavin Newsom 將會簽署法案，限制執法人員喺隨身拍攝鏡頭內加入人臉辨識技術，有份動議呢項法案嘅成員話，原本裝備呢啲鏡頭有助改善警民關係，但如果人臉辨識技術會破壞信任關係，令人憂慮會變成監控工具，咁就寧願唔好有呢項功能住，所以法案會強制禁止執法機關喺 2023 年或之前安裝人臉辨識，真係令人拍爛手掌。其實唔好話有無人臉辨識，要市民信得過呢啲鏡頭，除咗儲存影片嘅方法具透明度，唔可以隨便攞嚟用或銷毁之外，仲要小心存放，否則就好易洩露市民私隱。 好似 Miami 嘅執法機關就唔係好靠得住，早排 Black Alchemy Solutions Group 行政總裁 Jasun Tate 就喺自己個 Twitter 度報料，話網上搵到條公開連結，係人撳入去都可以睇到晒警方隨身鏡頭嘅影片，數量仲有成 1TB…

原來發俾 iPhone 用家嘅多媒體訊息係刪除唔到㗎，仲唔係漏洞？Telegram 一收到通知即刻 take action 修補，WhatsApp 就回應話從來無保證過訊息一定可以刪除，所以唔會改……講呢啲？ WhatsApp預設自動下載 講緊嘅係 WhatsApp 入面嘅 Delete for Everyone 功能，佢嘅作用係可以喺大約一個鐘之內，俾發訊人刪除傳送出去嘅訊息同埋相、片，而且可以連群組內所有成員收到嘅嘢都刪除埋，就算 send 錯咗啲有性命危險嘅訊息，都有機會掹得返。不過，原來呢個情況只適用於收訊人係用緊 Android 手機，iPhone…

Apple 嘅 iPhone 11 系列將於下星期五推出，伴隨住新機出爐，作業系統亦會升上 iOS 13。不過，早前 Apple 放出供測試嘅 iOS 13 GM（Golden Master） 版最然係最接近完成嘅版本，但就俾網絡安全研究員 Jose Rodriguez 篤爆 Apple 仲未修補到之前佢舉報嘅漏洞，可以喺唔使機主解鎖嘅情況下，讀取機主嘅聯絡人資料。 Rodriguez…

網絡安全事故頻頻發生，香港企業當然不可能獨善其身，特別是雲技術興起，重要數據或敏感資料未必會只儲存在內部伺服器，被攻擊的層面自然大增。為了減低風險，現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過，面對層出不窮的攻擊手法及難以防備的人為疏忽，企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說，這類保險概念在香港屬起步階段，但在歐洲地區卻歷史悠久，遠在上世紀七十年代已有相關保險，因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟，不單只保障企業，個人一樣受保，例如經常拿著電腦到不同地方工作的自由工作者，保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險，主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇，但網絡安全保險就相對陌生。盧子頴解析，網絡安全保障範疇不難理解，當發生黑客入侵或資料外洩，善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障，主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後，企業必須聘請專家去證明這是否一宗網絡安全事故，進行調查及鑑證，分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報，便有可能需向法律顧問諮詢意。除此之外，為免外洩的客戶資料被黑客用作申請信用卡或借貸，企業或有需要採用信貸監控服務，而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業，這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額，例如過往的交易紀錄等，但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞，又或受到勒索軟件攻擊，待專家取證後，企業便可以修復系統及復原數據，涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱，導致客戶在名譽或金錢上出現損失，對方便有可能入禀追討賠償。 除了上述四項保障，盧子頴說因應市場需求，部分保險公司還會提供一些額外的保障，例如贖金索償，當企業遭受勒索軟件攻擊，有需要繳付贖金以取回解鎖方法，這些贖金便會獲得賠償。「另外，近年因外判商失誤造成損失的個案大增，所以亦有保險公司提供這類保障，例如一些業務涉及電子交易的企業，會委托外判商提供及管理網上交易平台，如證實導致資料外洩的失誤是出在對方身上，投保人便可獲得保障，而保險公司則保留向外判商追討損失的權利。」 事實上，網絡安全保險的保障範圍可以很全面，不過，盧子頴強調與其他保險產品一樣，投保的概念並非為了賺錢，而是減少損失。不過，是否所有企業也需要投保？他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information（PII），而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料？如需管有這些敏感資料，受黑客攻擊的風險便會增加，企業管理者應認真考慮投保，特別是全球各地都開始為保障個人私隱立法，歐盟通過的 GDPR…

雲端應用雖然已大行其道，不過，不少企業管理者仍然無法信任其安全性。最近一份針對亞太地區企業進行的安全調查報告《Data Security APAC 2019》顯示，發展成熟的企業當中，只得 27% 認為公共雲（Public Cloud）有足夠的網絡安全功能。而整個亞洲區的企業中，有 73% 受訪者認為資料外洩是無可避免，這可能跟超過 75% 企業管理者未能了解如何可安全保護業務有關。 增加攻擊難度 企業要提升公共雲的防禦力，可從設定嚴緊的登入措施及加密數據著手。首先企業管理者要釐清各員工的登入權限，可有效阻止未獲授權的員工接觸重要的文件或作業；不過，如登入帳戶資料被盜取，黑客一樣可以登入雲端應用竊取資料，所以企業亦應考慮採用多重因素認證（Multi-Factor Authentication）機制，例如以 USB、藍牙硬體鎖作為 Security key，員工登入帳戶時必須持有這硬體鎖，這樣即使登入名稱及密碼外洩，黑客亦無法登入帳戶，減少公司機密資料被盜取的風險。 另一方面，雖然公共雲供應商有提供網絡安全措施，但客戶並不能單純依靠對方的防護，因為客戶本身存有分擔責任（shared responsibility），必須採取足夠的手段去保護儲存在雲端的資料，否則亦難以追討賠償。而要確保數據安全，最好便是選用加密技術，例如 tokenisation 或 cyptographic 等工具，將數據亂碼化或以金鑰作保護，即使數據被盜用，或於轉送中褒被攔截，黑客亦難以破解及還原數據的內容。 雖然 MFA 或 Tokenisation 都是非常有效的保護公共雲手段，但在今次調查報告中，企業的採用率都不高，前者少於 50%，後者更少於 20%。隨著全球各地陸續立法管制數據安全，資料外洩已不單只會影響商譽，更有可能為企業帶來災難性的金錢賠償，要避免企業營運陷入困境，由今日開始，就要立即採取措施，守好雲端上的數據。 （article sponsored by Edvance)

Google Project Zero 近排喺 Apple iOS 推出版本更新後，多次公佈由佢哋舉報嘅漏洞，而且有 14 個之多，當中更有兩個嚴重漏洞存在超過兩年，iOS 裝備用家只要睇過某啲網站就中招，可以睇埋 WhatsApp、Telegram 等用 end to end Encryption 技術加密嘅訊息。如果有裝置仲行緊 12.1.4 版本或以下，就要快啲更新喇。 Project…

睇子華嘅最鍾意嗌「回水」，不過冇一次得到正面回應。而最近有黑客被補之後，起返之前呃落嘅 110 萬 Bitcoin 贓款，當局決定將贓款歸還苦主，實現真正嘅回水！ 是咁的，英國警方花咗兩年時間調查，終於响 2017 年 9 月成功捉到 Grant West（aka Courvoisier），行動外號叫「Operation Draba」。 Grant West 被判監 10 年零 8…