本周初，香港電腦保安事故協調中心（HKCERT）公佈了第三季保安觀察報告，相比起去年頭三季，數據顯示今年頭三季安全事故數字上升 213%，再加上物聯網（IoT）的普及必將帶來更多安全問題。為了提升企業的網絡安全意識，香港生產力促進局聯同本地十個資訊保安專業組織，舉辦一連兩天的「資訊保安高峰會2019」（Information Security Summit 2019）。 於今早揭幕的高峰會，以「使用新技術保護數據 應對網絡安全新威脅」為主題，生產力局總裁畢堅文在致辭時已指出，物聯網設備在智能製造和智慧城市上的應用普及化存在不少問題，面對網絡上愈趨猖獗及複雜的黑客挑戰，以及世界各地引入更嚴謹的個人私隱政策規管，企業必須更迫切提升自身的網絡防禦水平。 充當企業安全顧問 他續說生產力局剛推出全新顧問服務「Security-as-a-Business」（SECABiz），便是為了協助企業和軟件開發商做好系統保安；針對物聯網安全性，亦正與德國弗勞恩霍夫生產技術研究所（Fraunhofer IPT）合作制定的「工業4.0推行策略評估服務」，加入網絡保安元素。 政府資訊科技總監林偉喬先生（前排右二）、生產力局總裁畢堅文先生（前排左二）、生產力局首席數碼總監黎少斌先生（前排左一）和資訊保安高峰會2019籌委會主席Dale Johnstone先生在「資訊保安高峰會2019」開幕禮上與一眾主辦機構代表合照。 大會開幕禮今天由香港特別行政區政府資訊科技總監林偉喬先生主禮，兩天會議雲集多位來自美國、加拿大、英國、日本和本港等地的資訊保安專家，以及多家國際知名企業代表，分享資訊保安技術在物聯網、人工智能、5G等領域的應用和潛在的網絡安全威脅。生產力局亦會由十月至明年一月期間，舉辦多場工作坊，介紹雲端及流動環境的數據保安、大數據分析等範疇的最新技巧和方案。 詳情請瀏覽生產力局網站 https://www.hkpc.org/

公司的數據有多安全？將其放上雲端，面臨的風險是否差不多？以上問題經常令資訊安全專業人員寢食難安。這也難怪，因為許多企業以為儲存於雲端基建內的數據不會外洩，但事實證明這種想法是大錯特錯。實際上，公共雲滋生出新的攻擊趨勢，而早前 Sophos 針對 Amazon Web Services （AWS） 數據中心進行的研究，正好印證網絡罪犯在這方面的行動有多迅速。 公共雲的風險有多高？ 安全研究人員可透過雲端蜜罐（一種網絡攻擊目標模仿系統）來監察出網絡犯罪行為，而 Sophos 便在 AWS 全球其中 10 個最受歡迎的數據中心設置蜜罐，啟動後不消一分鐘（52秒）， 即有蜜罐遭受攻擊；30 日後，每個蜜罐錄得平均每分鐘被攻擊高達 13次。 我們的研究顯示，網絡罪犯現時積極尋找脆弱或開放的雲端目標來入侵，甚至會利用自動化工具以求迅速得手。雖然這並不代表企業採用公共雲就一定會陷入危機，但研究結果反映出，如企業要享有公共雲帶來的優勢，就必須確保轄下數據的安全，亦即是要注重智能可視度、法規遵循以及人工智能監控。…

網絡安全好重視認證，不過，正如有安裝防毒軟件都唔係百分百安全，有認證其實都只係安全嘅第一步，因為黑客都識得以正常途徑攞認證，以 Apple Developer Certificate 為例，呢個就係黑客慣常使用嘅手段，用嚟瞞過 Mac OS 嘅 Gatekeeper、XProtect 防禦系統，等惡意軟件可以成功安裝。 最近上述嘅攻擊手段，又再次出現喺 Mac OS 之上。發現今次呢個 TARMAC 安全漏洞嘅係數碼媒體安全公司 Confiant，其實佢哋嘅專家早喺今年初，已發現 TARMAC 嘅前奏攻擊 Shlayer。當時專家指出 Shlayer…

變臉詐騙攻擊（Business Email Compromise，BEC）持續肆虐，最近又有大企業中招。今次苦主係豐田生產汽車椅套及門內飾件嘅子公司豐田紡織（Toyota Boshoku）。上個月，其歐洲子公司受到假冒商業郵件嘅變臉攻擊，導致公司財務損失約 40 億日圓。 豐田紡織剛剛公佈，於 8 月 14 日中招，已經立即成立應變小組並報警協助調查，力求儘可能追回被騙金額，不過潑出去嘅水絕對冇咁容易收得返，所以，出年 Q1 嘅營收報告真係凍過水。豐田都可謂多災多難，早於今年初，Toyota 日本總公司與越南分公司 5 周內兩度受襲，其網路及伺服器遭到未經授權存取，外洩資料涉及 310 萬客戶。連番出事，就唔可以話唔好彩，公司上下軟件硬件嘅安全都必須全面檢討。 變臉詐騙攻擊一直都係公司嘅惡夢，因為手法簡單、得手率高，所以一直猖獗，為公司安全最大威脅之一。因此，一間公司必須要添購電郵保護服務，7×24全天候攔截各種電郵攻擊，如攔截 SPAM…

Google Assistant、Amazon Alexa、蘋果 Siri 及微軟 Cortana 相繼被揭發將用戶對話語音檔交予第三方，作轉錄抄寫並進行分析。剛剛 Facebook 亦承認，將 Messenger 用戶嘅語音通話交出去轉錄抄寫，美國五大科技公司一個不漏，齊晒！唔想私隱外洩？都係快快刪除語音助理通話紀錄啦！ Amazon 及 Google 早於年初被揭發同類問題，其 Echo 及 Google Assistant 嘅用戶對話語音檔被送去分析，雖然所有錄音都係喺功能啟動後先被記錄，但其內容仍然非常私人，如包括醫療資訊、毒品交易乃至親密情節。由於私隱問題備受爭議，Google、Apple…

而家網上世界真係好多 fake news，你睇 Facebook 都話嚟緊幾年會專注打擊假消息，就知問題有幾嚴重，所以喺轉發新聞前，真係要盡量做下 fact check，就算驗證唔到，都要盡力了解下真相。好似上星期開始喺 Twitter 上蘊釀嘅我要上 Twitter 事件，主人翁好可能連 Twitter 同 LG 都玩埋。 喺 8 月初，有個慈母因為阿女 Dorothy 玩手機玩得太投入，煮嘢食時都掛住玩手機，結果搞到著火，慈母即時沒收晒佢嘅手機，希望佢可以多啲留意現實世界嘅嘢。Dorothy…

具備 NFC 功能嘅 Android 手機要小心喇，日本早稻田大學研究員成功研發出 Tap’n Ghost 攻擊，瞄準 NFC 漏洞再結合電容干擾技術造成雙重攻擊，奪取手機嘅控制權，咁樣攻擊真係好難防避喎！ NFC 無線近場交流技術已經有好多種應用方法，例如用嚟電子付款、交換檔案等等，所以好多人都習慣長期啟動呢個功能。不過，早稻田大學嘅研究員喺 5 月舉辦嘅 2019 IEEE Symposium on Security and…

大家一直認為 iPhone 無法強行解鎖，非常安全。錯！以色列安全技術公司 Cellebrite 宣稱能夠解開任何版本嘅iPhone！再次引證行家金句：「呢個世界無嘢係 hack 唔到嘅。」美國 FBI 都用來「搜證」，你估香港又有冇用呢？ 2016年初，美國聯邦調查局（FBI）曾要求 Apple 協助解鎖一個疑犯嘅 iPhone，但要求被 Apple 拒絕，事件更一度對簿公堂。最後，FBI 搵到幫手，成功「搜證」。傳聞中，呢個幕後高手就係 Cellebrite。 黑科技破智能手機 Cellebrite 創立於以色列，隸屬於日本嘅…

香港《個人資料（私隱）條例》早於 1996 年生效，是亞洲首個全面保障市民私隱的條例，我們，曾經很先進。「但那是二十年多前的事。其他後來者如日本、新加坡則與時並進，不斷修訂，而香港就原地踏步，猶如在用二十年前的電話，很落後。」莫乃光從事資訊科技及電訊業二十多年，見證業界發展，作為立法會議員， 開口埋口都是政策。「政府要改變做事方法，要知道今日的網絡世界如何，要更新政策，拖延下去絕非香港之福。」 香港，未 ready 「香港現在面對的網絡安全問題，基本上與全世界都一樣，其實重點是應對的準備是否足夠，而我覺得香港未足夠。」莫乃光所講的準備，是預防事故發生、準備程度、警力、法例、罰則等。「單是政策及法例，已經有很多需要改善的地方。現在很混亂，例如政府可以用那條法例檢控網絡入侵呢？《電訊條例》用過一兩次，檢控不法偷用電視機頂盒訊號；《截取通訊及監察條例》呢？只能用於本地執法部門，不適用於其他罪犯。再問下去，『不誠實取用電腦』又範圍太闊，實際拘捕最多的可能是偷拍裙底的罪犯。」莫乃光指出，香港現行法例並沒有一條具針對性。檢控方面未完善，至於阻嚇及預防方面，亦有不足。 條例修訂困難重重 私隱條例訂立至今未有大改，原地踏步，尤其對照歐盟 GDPR 更見分野。「GDPR 對個人資料有新定義，香港的定義仍然沿用二十年前的；GDPR 罰則嚴厲，可達公司全年收入的 4%，具阻嚇作用。另外，香港私隱專員的權力、檢控權都很薄弱，都必須檢討。」可喜的是自從國泰等事故之後，政府承諾會在第一季檢討相關政策，研究修訂條例。「不過，過程亦困難重重，凡是會提高成本的條例，商界很多時就本能地反對。而似乎政府害怕商界的反對聲音，多於緊張對市民或消費者的保護。」以往不少條例如商品說明、競爭法等的推動都停滯不前，比其他地方明顯特別落後，是有其原因的。 莫乃光，資訊科技界立法會議員。 政府要支援企業 莫乃光認為政府應該做的另一樣事情，是對企業的支援。「政府投放於創科的金額可以過千億，但沒有任何資助用在網絡安全上。中小企雖然可以申請科技劵，但資助用於改善系統以增強競爭力，就沒有資源做好網絡保安，所以政府應該開出特定的金額，幫助他們做好網絡保安的工作。」莫乃光對政府的評價也並非全盤負面，對警察的執法能力就相當肯定。 支持警方擴軍，籲增透明度 「我覺得警方具備了足夠的能力應對網絡罪案，警方特別擴充部門，成立網絡安全及科技罪案調查科，人手亦每年遞增，我絕對支持。」近年網絡罪案數字不斷上升，加強警力非常合理。「我相信罪犯都明白，今時今日在網上犯案搵錢很容易，風險亦較低。唔通仲揸支槍去打劫？」莫乃光認為唯一的不足，是部門的透明度很低。「其實我沒有足夠資料去討論細節，因為透明度很低。我認為警方可以多與業界及專家交流，讓大眾對警方更有信心。」 網絡安全立法有其利弊…

「練習網絡保安技術有如學飛行，要用模擬器練習，因為不可能用真飛機。」Rick Tam 以學揸飛機比喻網絡保安訓練，因為唔會有老闆會畀間公司「教飛」。但問題係：如何練出實戰能力？「因此要有模擬訓練系統 Cyber Range。」 Cyberbit Range 登陸香港 「Cyber Range 是一種實戰訓練方法：提供一個模擬網絡環境，並給予真實攻擊，學員以環境中的工具學習應對的技術。」網絡保安，場場對弈，應變、實戰當然比紙上談兵重要。但成立一個 Cyber Range 訓練中心絕非易事，所以即將於九龍塘開幕嘅 Cyber Range Training Centre，絕對係業界喜訊。「其背後的支援系統，就是以色列的 Cyberbit Range。」…