近日全球各地發生多宗數碼災難，有保險公司旗下牽涉多國的客戶數據資料遭公開，更接連有基建，包括能源公司、醫院、軟件公司等遭受勒索軟件威脅的事故，牽連甚廣，影響民生。面對黑客頻繁出動，企業必須找出現行系統存在的漏洞，加以防範。在疫情之下，遙距辦公或為企業保安系統打開缺口，在員工脫離公司網絡保護下，企業應當如何自保，做好把關呢？ 企業日常營運需使用多個不同的系統，諸如財務系統、公司內聯網、雲端數據庫等，使用愈多的系統，便需要記住愈多的密碼，如果偷懶全部用上同一組密碼，一旦遭黑客盜入等同把不同的夾萬之門打開任人竊取財物。Thales 大中華及韓國雲數據保護與軟件授權區域銷售經理任兆雄（Tommy）指出，無論是數據洩漏，抑或是勒索軟件攻擊，其導致原因都有機會是企業大門把關出現問題，太多進入系統的入口，自然甩漏也會更多，被攻擊的機會亦因此增加。企業要修補漏洞，便需監察好每個入口，「加多把鎖匙」，鎖好每一道門。 Thales 大中華及韓國雲數據保護與軟件授權區域銷售經理任兆雄（Tommy）表示，無論是數據洩漏或勒索軟件攻擊，其導致原因都有機會是企業大門把關出現問題。 免卻記密碼及繁複登入步驟 那麼到底如何為系統加設鎖匙？Tommy 解釋，黑客會假裝是企業的員工，使用其登入資料進入系統，而採用多因素驗證方法（Multi-factor Authentication, MFA），就是最佳方法：在用戶登入系統時，除了需輸入帳戶名稱及密碼，需要再作多一次的驗證，例如輸入傳輸至用戶手機的驗證碼，或是再用如指紋、面部特徵等生物特徵作身份確認。坊間有網站提供免費的 MFA 工具，例如會創建一個獨有的 QR Code，作為身份驗證；不過如果有人從其他途徑獲得相關QR code，就有風險被盜用身份，所以使用 MFA 作為身份驗證保安工具時，應檢查所有「大門」，避免遭黑客有機可乘。Thales IAMaaS 解決方案是作為「鎖匙保管者」的存在，讓企業安心阻擋非員工人士進入機密系統，免卻需要記下多個密碼的煩惱，同時也能擁有嚴密的保安措施。 Tommy 笑稱Thales「鎖匙佬」，「一條龍」做好企業系統的所有把關，包括配合客戶需求、客戶服務、維修等，全方位支援客戶需要。而 Thales IAM 雲端方案是一個管理用戶所有登入憑證的服務，方便 end-user 操作，省卻登入須多次輸入密碼的麻煩，登入只需作一次身份確認，即使稍後要進入其他系統，亦毋須不斷輸入帳戶名稱及密碼。 Thales IAM 雲端服務設有三條防線：第一條防線是在輸入帳戶名稱及密碼後，加設多一個驗證因素，以；第二條防線是 Smart Single Sign-on （SSO），即智能單點登錄功能；第三條防線是以零信任 （zero-trust）的機制。 三條防線 智能分析異常用戶行為 Thales IAM 雲端服務設有三條防線：第一條防線是在輸入帳戶名稱及密碼後，加設多一個驗證因素，以作身份確認；第二條防線是 Smart…

「新日常」不經不覺已被談論年半，近來市場變化較大，客戶由公司辦公變成在家工作，保安的邊界變得不清晰。特別現在包括 SaaS（Software as a Services）等的應用崛起，以互聯網出口作管控的話，技術上開始失效，未能為用戶帶來真正保護。 融合網絡與安全 針對上述問題，其實保安業界早有提升技術應對。其中全稱為 Secure Access Service Edge（安全存取服務邊緣，SASE）的融合網絡與保安管理的架構，早在 2019 年首次被 Gartner 提出，這個新融合網絡與安全的架構，主要是以雲端形式把服務送致用戶，而市場主要廠商之一 Sangfor 也有提供這項針對新常態的保安服務。 Ringo Yiu強調，Sangfor為少有在本地設立SASE網絡節點服務的解決方案商，目前也正著手建立歐洲與中東的節點，假設將來疫情完畢，各國重新開關，也有能力做到無縫連接。 Sangfor屬全球十大 Sangfor 港澳台新加坡地區業務總經理…

數據外洩威脅急劇上升，保護數據庫變得日漸重要。現時網絡安全界已使用多種技術來保護數據，複雜性也在不斷發展，例如同態加密（Homomorphic encryption）、混入假數據等等，無非都是為了阻止黑客入侵。 最簡單的保護數據庫方法之一，是將數據資料分開儲存。研究人員只可以讀取第一個數據庫，具有完整資料的數據庫就會儲存於其他地方，檢查數據時必須利用演算法去還原完整數據，免除研究人員遺失數據的責任。同態加密是比較複雜的保護數據方案，系統會將敏感資料完全加密，研究人員要調用真實數據時，系統便會進行同態運算，令數據在毋須解密下都可被搜尋。十多年來，IBM 一直在為同態加密技術作出貢獻，例如提供適用於 Linux、iOS 和 MacOS 的工具包，以及安全儲存和處理數據的雲端環境。不過，同態加密還未成熟，因為需要太多運算，拖慢檢索速度，如要在大型數據庫使用便難以負荷。 現時數據保護服務供應商採用的加密方法，主要是加密數據庫內的資料，不過並非全面加密，而是平衡保密與共享原則，只向研究人員透露非私密訊息，減低運算負荷。一般的做法是加密姓名、地址等個人敏感資料，只有獲得演算法密鑰的特定人員可以訪問，其他用戶只可讀取未加密的部分。單向函數密鑰（如 SHA256 hash 算法）是最常用的演算技術，如欠缺這條密鑰，攻擊者便無法逆轉計算出原來的數據。 將假數據混入數據庫也是另一種常用手段，因為隨機噪音（random noise）可令識別個人記錄變得困難。Google最近便將名為 Privacy-on-Beam 的內部工具變成開源技術，用戶可以將噪音混入數據庫，然後才儲存到 Google Cloud 數據庫。不過當噪音資料被混合在數據庫內，有可能令資料準確度出現問題，因此最近微軟亦提供了一個與哈佛大學科學家合作開發的差異私隱（Differential Privacy）工具包，它可被應用於訓練人工智能或分析營銷活動數據，而不被噪音影響準確度。…

虛擬資產一直以來是一個市場焦點話題，除了一般的比特幣之外，還有很多不同的種類的數字貨幣如以太幣、狗幣及瑞波幣等等。相對而言，比特幣今年的表現大幅落後其他幣種，原因很簡單，每個幣種都有自己的用途，而比特幣的性質與「黃金」相近，兩者均可儲存價值。 相反，以太幣則沒有太大的儲存價值用途，以太幣的價值來自以太坊的應用，以太坊的使用愈多，其價值就愈高。虛擬資產投資市場已經不再是純炒賣的市場，以以太幣為例，它的價值來自背後的應用，應用愈多，它的價值就愈高，這亦解釋了為什麼比特幣的升勢表現較其他虛擬貨幣遜色。 如果你相信幣的生態圈是有未來，而不只是幾個電腦人玩的遊戲的話，虛擬貨幣的價值是非常巨大。舉個例子，比特幣的市值是1萬億美元，以太幣是4千億美元，而最大的穩定幣USDT（穩定幣是一種數字資產，旨在模擬美元或歐元等一些法定貨幣的價值，允許使用者在全球範圍內進行低費用且快速的資產轉移。)只有535億美元市值，而香港的貨幣基礎都有2700億美元，可想而知究竟還有多少資金可以流入這個幣圈？ 如果真的有數倍資金加入，可能受惠的有美國上市的Coinbase以及銀行Silvergate。Coinbase是美國最大的數字貨幣交易所，雖然現時USDT是最大的穩定幣，Coinbase其實也有發行自己的穩定幣USDC，與美元掛勾。簡單來說，你手持穩定幣USDC，就可以使用這些穩定幣與其他虛擬資產進行交易，而發行商就會持有相對的美元做價值支持。截至目前，市面上很多消息提及做虛擬資產的銀行，但基於虛擬銀行需要面臨技術、法律以及合規等相關問題，以致大多數銀行都只是紙上談兵，目前在市場上做虛擬資產銀行較出色的是Silvergate。 Silvergate是一間專注於加密貨幣存放款業務的加州銀行，銀行由2013年已經進入比特幣市場，穩定幣背後存放這些美元以及歐元的都是來自Silvergate。Silvergate於加密貨幣市場已經建立一個信心保證，性質與Coinbase接近，兩者均是信心合規的保證。未來相信將會有增多的資金進入，資金愈多，穩定幣的發行量也會愈來愈多，可見Silvergate及Coinbase的未來的增長空間有可能愈來愈大。 獅昂環球資產管理（Axion Global Asset Management）董事陸永頌

公司被黑客入侵，好多時都因為員工疏忽，錯誤開啟了電郵內的惡意連結或附件，不過在怪責他們的同時，企業管理者有否反思公司提供的網絡安全訓練是否足夠？內容能否吸引同事細心閱讀？記著以下 5 個要點，才可令同事在培訓課程時專心及上心。 有調查顯示，企業被入侵的原因九成出於員工誤開釣魚電郵，而且隨著疫情下在家工作 (Work From Home) 變得普及，員工在公司以外環境下工作，防禦力自然更薄弱，因此有必要提高員工的網絡安全意識，於源頭阻截惡意攻擊。不過，有企業管理者會懷疑，明明公司已提供各種網絡安全培訓，為什麼員工就是無法上心？歸根究底，問題可能出在培訓課程之上。不妨留意以下幾點，重新審視安全培訓課程內容，才能讓課程變得有效率及有意義。 1. 內容要專 一個優質的課程，內容必須夠專及到位，必須因應行業特性安排培訓內容，而不是隨便拿取網上的網絡安全培訓樣本使用，以金融業為例，同事可能須更注意各種合規要求，貿易公司則可能面對較多商業詐騙電郵 (BEC) 攻擊，不能一概而論。 2. 真實事例 在準備培訓內容時，必須加入真實事例講解，以釣魚攻擊為例，如只告訴員工釣魚攻擊可令電腦中毒，員工未必意會到有多嚴重。應該清楚舉例說明黑客的攻擊手段，例如會引誘員工開啟惡意附件，或預先架設一個虛假網站套取帳戶登入資料，員工才會理解如何防範。 3. 簡潔說明 這點不難理解，培訓課程的時間不應太長，解說亦要簡潔到位，員工才不會因說明時間太長而失去集中力。如果能夠加入有趣的例子或互動元素，自然更容易上心。 4. 高透明度 公司引入各種網絡安全守則及工具，雖然出發點是為了公司及員工著想，但始終會引來員工疑慮，擔心公司會以安全為名，實則加強監控工作。因此企業管理者必須詳細解釋安全守則及工具的內容及會收集到哪些資料，讓員工清楚理解不會侵犯其私隱，員工才會樂於按照安全指引辦事。 5. 因人而異 每個同事對網絡安全的認知不一，因此培訓內容也要作出調校，企業管理者可安排員工接受安全測試，因應其安全意識分成不同的小組並提供合適的課程內容，這做法不單可找出高風險員工優先培訓，更不會因課程內容太深或太淺，令員工失去專注力。…

Coinbase上市以及虛擬資產的市場波動都是最近的城中熱話，相信不少有投資虛擬貨幣的朋友都有聽過Coinbase，它是虛擬資產交易所，總部位於美國，上市後估值近64億美金，其獨壟斷地位令這個美國上市虛擬資產交易所的市值比其他傳統交易所都要高。 金融世界和科技世界都是winner takes all，Coinbase上市後成為一間既合規又具規模的交易所，不少上市公司如香港的美圖、美國的Tesla和MicroStrategy都是Coinbase的客戶，原因十分簡單，Coinbase在眾多的交易所之中最合規，上市公司如要投資虛擬資產，就要選一個市場安心自己放心的平台，一旦監管機構或審計師查起上來，看見這些上市公司選用的是Coinbase，問題也自然少一點。因此Coinbase在虛擬資產交易所市場一早入局，有開荒牛的優勢。 今天虛擬資產市場能發展得成行成市，好多人都會問虛擬資產如比特幣的價值何在，一個看似沒有回報的東西，比特幣價格的頂會在哪裡？這個問題，似乎香港經濟學太祖張五常先生多年前已在研究藝術市場時找到答案了。虛擬資產與藝術品於特性上有點相似，所以張五常先生用於解釋藝術品的道理亦可以解釋於虛擬資產之上。 張五常於藝術品世界提出了倉庫理論，指財富要找尋合適的倉庫去累積，倉庫可以是有回報的資產，或無生產力的物品。有回報的資產其中一個例子就是債券，這些有回報的資產價值都是有上限的，其上限就是預期收入的折現價值，債券的價格視乎幾期利息以及當時利率，債券價格不能升到無限高。 另一方面，無生產力的物品如藝術物都可以是累積財富的倉庫，藝術品的存款是收藏成本，而回報是未來價格的波動。這些倉庫都是沒有如利息般的定期現金回報，未來的回報視乎有生產力的人願意給出的價值，因為沒有折現預期收入，或者說預期收入不好計算，這些東西的價值是沒有上限的。要成為這種無生產力的倉庫有三大因素，第一是有鑑證專家，能分辨無生產力的倉庫真假，第二倉庫數量不能太多，也不能太少，有供有求才有市場，第三是成行成市，有買有賣。 至於今天虛擬資產似乎都符合張老師闡釋生產力倉庫的定義。所以有人問比特幣的頂在那裡，答案是沒有；有如藝術品一樣，只要有人買而這個東西可以保存下來，一幅畫可以賣上天價。虛擬資產雖然是數位化，卻有這些無生產力倉庫的特性。然而，跟藝術品一樣，價格可以大升大跌，沒有上限亦不代表虛擬資產價格可以一直升上天。 獅昂環球資產管理（Axion Global Asset Management）董事陸永頌

無可否認，去年初爆發的新冠疫情成為了企業數碼轉型（Digital Transformation）的催化劑。在政府的抗疫措施下，企業無論是為了讓員工在家工作（Work From Home），抑或應付顧客網購習慣的轉變，均發現傳統的基礎架構及 IT 工具完全無法滿足營運上的需要，有必要來一次大翻新。 新常態下服務要快 香港系統整合商 Amidas 技術總監 Frieda Cheng 解釋：「傳統的 I&O（Infrastructure & Operations）架構都是內部部署（on-premise），以往企業要開展新計劃，單是購買硬件、軟件及鋪設網絡的 IT 前置工作，起碼也要籌劃半年，完成整個計劃更至少要一年時間，套用在今次疫情上，便會發現傳統 I&O 架構已與實際需要嚴重脫軌。」…

IBM Security 發表的數據外洩成本調查報告指出，疫情令不少企業大量採用軟件即服務 (Software-as-a-Service)，但相關的網絡攻擊風險亦大增 630%。報告顯示如果企業能夠在 200日內發現及控制外洩事故，平均便可以減少 100 萬美元處理成本，但實際上平均處理時間卻需 280 日……加強SaaS防禦能力，刻不容緩。 IBM Security 發表的 2020 Cost of a Data Breach Report，主要顯示疫情期間企業或機構發生的數據外洩情況及處理效率。由於遙距工作急升，雲應用服務使用率錄得…

在全球遙距工作的驅動下，市場對 Office 365 的需求急增， 同時Office 365 數據恐成黑客攻擊目標。有雲端安全解決方案供應商發表最新報告指，六成港企曾遭勒索軟件攻擊，零售、飲食和消閒、資訊科技和電信以及金融成首三位最受影響的行業。 依賴Office 365內建功能備份　港企憂成為勒索目標Barracuda Networks 發表最新報告指，有六成港企曾遭勒索軟件攻擊，74%的港企擔心其Office 365數據成為勒索軟件的攻擊目標，有零售、飲食和消閒（72%）、資訊科技和電信（65%）以及金融（63%）成首三位最受影響的行業。 報告提到，過去一年，香港企業對SharePoint、OneDrive 和 Teams 的依賴大為增加，75%的香港受訪機構表示，目前只依賴Office 365的內建功能去備份和回復數據。有香港資安專家表示，Office 365的內建備份功能不足夠應付目前的網絡安全挑戰，建議企業須部署功能全面兼簡易使用的備份解決方案，可快速啟用和運行，並提供未在 Microsoft 內建的精細回復功能（granular restore），以進一步加強 Office 365 的數據安全性。 憂慮境外儲存數據備份　SaaS 方案相當重要報告亦顯示，71%的香港企業表示對數據備份儲存在境外地區有顧慮。 79%的香港受訪機構對數據的私隱合規要求存有憂慮，尤其是製造業和公用事業（91%）、醫療（90%）和法律（86%）行業。 面對情況，近七成企業的IT決策者認為，使用無需維護硬件和軟件的SaaS解決方案 相當重要，而「快速且容易安裝及使用」是他們揀選SaaS解決方案 的首要條件。另外有約八成受訪者期望在使用新數據防禦解決方案時，可即時部署備份。 *該研究報告由獨立市場研究公司 Censuswide 進行，共訪問了1,828位來自美國、歐洲、中東和非洲，以及亞太區的管理層、負責企業雲端基礎架構的團隊經理及人員。受訪企業擁有50名員工或以上。

財務及人力資源企業雲端應用程式供應商 Workday 公布《企業財務數碼轉型：行業應變指數及引領下一個新常態》調查結果，發現 62% 香港企業對 2021 年第一季度的業務復甦表現感不樂觀，而調查結果與亞太區其他市場（包括新加坡、澳洲及紐西蘭）的受訪者的想法一致。該調查披露，香港在應對業務受阻時表現最不理想，有接近三分之二的受訪者（64%）難以應對業務受阻，其次為澳洲（59%）、新加坡（46%）及紐西蘭（25%）。另外，61% 香港企業表示，當業務嚴重受阻時，需要至少四天解決復原。 此次調查以網上及電話訪問的形式於 2020 年 11 月在新加坡、香港、澳洲及紐西蘭進行了 675 次訪問，只有高級財務（70%）及IT（30%）專業人員接受了訪問，所有受訪者均來自擁有超過 1,000 名員工的企業。四個市場中，以醫療保健業（75%）、工業和化工業（74%）及公共部門（67%）在應對業務受阻時，準備最充足。而高等教育業（84%）、房地產和建築業（65%）及消費者服務業（59%）最受衝擊，部分原因或因缺乏基礎建設、失業率及新業務的流失。Workday 亞洲區 CFO 業務主管陳利同（Lee…