近日有傳中國受水災影響，部分地區出現糧食危機，政府亦帶頭呼籲民眾不要浪費食物。除了天災之外，人禍也會引發糧食短缺，例如以色列安全專家就發現，由Motorola設計的智能灌溉系統在設計上缺乏安全考慮，竟容許用戶以出廠登入資料長期使用系統，只要黑客有心，隨時可摧毁大量農作物，製造糧食危機！ 為減少人力需求、降低成本，不少農場也會裝設智能灌溉系統，交由電腦自動執行灌溉、施肥、使用農藥等工作。可想而知，如未能及早發現系統損壞或運作異常，農作物的收成將會大受影響。而以色列安全公司Security Joes創辨人Ido Naor，就發現有超過100個Motorola ICC PRO智能灌溉系統的用戶，竟然未有為系統設定密碼，黑客只要使用Motorola預設的帳戶登入名稱如admin，即可遙距登入帳戶，修改智能灌溉系統的設定及執行異常灌溉指令，而且不會驚動Motorola及其用戶。Naor指出Motorola的ICC PRO雖然有安全保護，但由於未有強制用戶在安裝後更改帳戶登入資料，全靠客戶自律，結果情況就如許多IoT物聯網產品的用戶一樣，放任繼續使用原廠設定。 Naor說要找出這些系統並不困難，只要使用IoT裝置掃描器，就能輕易在網絡上搜出Motorola的ICC PRO。他已即時將研究報告通知以色列的網絡安全中心及Motorola，讓對方通知用戶盡快修改密碼，而Naor發現仍未修改密碼的用戶已減少至78個，不過由於研究已經公開，肯定會有黑客嘗試入侵這些用戶。 事實上，各國政府均意識到IoT產品的安全問題，並開始陸續規管生產商，例如美國於2020年1月1日生效的SB-327 Information Privacy：Connected Devices 條文，就限制生產商必須為每部產品設定獨一的出廠登入密碼，即使用戶未有更改，也不致被黑客以同一密碼大規模攻擊其他同廠產品。英國及澳洲政府亦有就IoT產品推出安全生製指引，但距離立法還有一段長時間，用戶現階段必須靠自己，例如定時更改帳戶登入資料、啟用2FA雙重因素驗證、持續更新官方發布的韌體更新等，雖然未必百分百安全，但也可減少大部分危機。 資料來源：https://zd.net/3kDpb9V

IoT（Internet of Things, 物聯網）可以話係現時其中一個網絡安全嘅大敵，因為生產商大多數認為要賺錢嘅話，出嘢一定要快、功能要多同易用，至於網絡安唔安全？呢啲問題真係可以遲啲先算。產品對象為企業客戶嘅都可能講究啲，但做一般用家生意真係睬你都傻啦！明嘅，不過嚟緊就唔可以咁 hea 喇，事關唔少國家都準備為規管 IoT 產品而立法，最快仲要明年一月就有規管添！ 根據網絡安全產品供應商 F-Secure Labs 嘅統計數字顯示，IoT 漏洞主要有兩方面，一係弱登入驗證，二係無提供更新檔修補漏洞。前者嘅問題係好多產品推出時可能唔使用密碼嚟配對，但出廠預設嘅登入名及密碼一式一樣，最出名嘅就當然係「admin」同「0000」之類嘅組合啦。只要用家買咗返嚟又懶得改，黑客就好易破解進入。另外，有產品出廠時根本無諗過會提供漏洞修補，所以即使被發現有漏洞，廠方都唔會理，甚至連更新渠道都欠奉，除非廠方回收，否則用家只可以決定用或唔用。 禁用相同出廠密碼 不過，呢啲情況將會有改變，美國加州喺 2018 年通過及 2020 年 1…

監控鏡頭、智能恆溫、指紋門鎖、節能控制、感應燈光⋯⋯物聯網（IoT）裝置喺大眾日常生活越發普及，而喺商業層面嘅應用就更廣泛，市場調查公司 Gartner 預測本年全球將有 58 億部 IoT 裝置接通互聯網，但亦因生產成本與欠缺嚴格安全守則指引，衍生無限網絡安全漏洞。防毒軟件供應商 Kaspersky 表示喺 2019 年首 6 個月中，錄得一億次針對 IoT 嘅攻擊，比去年同期飆升 9 倍，傳輸數據嘅安全設定係其中一個漏洞所在。針對呢一個環節，閃存記憶體生產商 Swissbit 早已推出附有加密程式嘅 SD…

踏入 2019 年最後一個月，各大網絡安全服務供應商都開始對來年業界進行預測。當中 Palo Alto Networks 專業領域亞太區安全總監 Kevin O’Leary 就認為有幾方面特別需要關注，同時亦就這幾方面提供建議。 解決4G漏洞救 5G Gartner 估計，2020 年全球 5G 無線網絡基礎設施的收入將會達到 42 億美元，較 2019 年大增 89%，而在不同國家亦已推出…

涉及侵害個人私隱嘅法例推行，會唔會影響到國外投資者信心，以及侵害到國家喺國際上嘅競爭力問題，最近又成為咗澳洲政府獨立安全法監察局（Independent National Security Legislation Monitor,INSLM）檢討緊嘅問題。負責今次調責嘅 Dr Renwick 就話，雖然現時全球政府都面對住加密技術妨礙搜證嘅問題，但如果呢啲侵入性法例會令到公眾懷疑佢嘅安全性，同時會令執法機關行使不必要嘅權力，咁就有機會要修正喇。 方便搜證疑侵害私隱權 講緊嘅係澳洲上年年尾通過咗一條Telecommunications and Other Legislation (Assistance and Access) Act 嘅修正法例，目的係為咗方便執法人調查罪犯，以防佢哋以加密方式收起犯罪證據，因此建議但凡唔肯向執法人員提供手機同埋手提電腦密碼，有機會被判五年監禁及罰款50000澳幣。 咁都不特止，正所謂魔鬼永遠喺細節度，原來條例仲講明，如果執法機構要求科技公司幫手，解開某人嘅電子設備密碼，而科技公司拒絕配合，分分鐘要面臨約 5000萬港幣嘅罰款！而如果科技公司嘅員工向任何人透露執法機構嘅要求，亦有機會被判五年監！外國公司亦可以用呢條法例，叫澳洲律政部長查你部電腦，睇下有無境外犯法，總之一句講晒，就係條法例好鬼惡啦！ 澳洲政府嘅理據係，因為近幾年科技發展太快，影響到執法同埋危害國家安全，所以先打算立呢條法例，新南威爾斯州公民自由委員會副主席Lesley…

一日到黑都聽到政府資料外洩，雖然都已經見慣，但就絕對唔可以習慣。最新一單係最近厄瓜多爾被揭發前所未有咁大規模嘅資料外洩，可以話係破盡所有國家嘅記錄。你估下到底有幾多人民嘅私隱洩漏咗？五成？七成？定係八成？錯！係100%，全國人民資料都外洩晒！ 話說厄瓜多爾全國人口有 1650 萬人，今次洩漏出去嘅個人資料總共有 2000 萬人，點解會咁離奇？原來連之前已經離世嘅國民資料都洩漏埋，換句話講，舉國上下無人倖免，包括埋厄瓜多爾總統 Lenín Moreno，同埋 2012 年曾經受厄瓜多爾政治庇護、維基解密創辦人阿桑奇，都喺洩密名單入面，真係夠晒災難級！ 事件係由一間叫做 vpnMentor 嘅網絡安全公司發現，漏洞源自美國邁阿密一個唔安全嘅伺服器，相信由厄瓜多爾公司 Novaestrat 所持有。調查發現，伺服器入面 18GB 個人資料唔係得人名咁簡單，仲有埋出生日期、出世地點、住址、電郵、身份證號碼、職業、銀行賬戶狀態、結餘，同埋信用類別。 咁大件事，梗要搵人問責，當地警方已經率先拉咗 Novaestrat 嘅經理…

Robocall，即係自動語音通話，真係諗起都𤷪！有調查顯示，美國境內每日都有兩億個電話係由機械人打出，足足佔總電話量嘅三成。Robocall 已經成功登上聯邦通訊委員會被投訴對象嘅第一名，問你怕未？ 發生喺美國嘅 Robocall 目的有好多，包括促銷、政治宣傳、詐騙、騙取用戶資料等。美國 Transaction Network Services（TNS）利用機器學習、大數據分析，幫助用戶及電信業界對抗垃圾來電。日前 TNS 發表咗一份報告，公佈有關美國滋擾電話嘅調查。 喺報告內，TNS 為美國電信業者億億聲嘅電話進行分類：「高危類」指詐騙電話，目標係盜取個人資料或金錢；「滋擾類」係純粹嘅煩，唔包含惡意攻擊。雖然好似冇害，但單係「煩」就夠死。TNS 更發現，「滋擾類」電話嘅增長比其他高危詐騙電話多 38％，即係越來越多，越來越煩。 另外，TNS 指出自動語音電話「騎劫」個案有兩倍升幅，所謂騎劫，即係 illegal spoofing，來電時會顯示假冒嘅電話號碼，繞過垃圾電話過濾器。TNS 指每 1700…

網絡安全事故頻頻發生，香港企業當然不可能獨善其身，特別是雲技術興起，重要數據或敏感資料未必會只儲存在內部伺服器，被攻擊的層面自然大增。為了減低風險，現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過，面對層出不窮的攻擊手法及難以防備的人為疏忽，企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說，這類保險概念在香港屬起步階段，但在歐洲地區卻歷史悠久，遠在上世紀七十年代已有相關保險，因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟，不單只保障企業，個人一樣受保，例如經常拿著電腦到不同地方工作的自由工作者，保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險，主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇，但網絡安全保險就相對陌生。盧子頴解析，網絡安全保障範疇不難理解，當發生黑客入侵或資料外洩，善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障，主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後，企業必須聘請專家去證明這是否一宗網絡安全事故，進行調查及鑑證，分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報，便有可能需向法律顧問諮詢意。除此之外，為免外洩的客戶資料被黑客用作申請信用卡或借貸，企業或有需要採用信貸監控服務，而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業，這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額，例如過往的交易紀錄等，但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞，又或受到勒索軟件攻擊，待專家取證後，企業便可以修復系統及復原數據，涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱，導致客戶在名譽或金錢上出現損失，對方便有可能入禀追討賠償。 除了上述四項保障，盧子頴說因應市場需求，部分保險公司還會提供一些額外的保障，例如贖金索償，當企業遭受勒索軟件攻擊，有需要繳付贖金以取回解鎖方法，這些贖金便會獲得賠償。「另外，近年因外判商失誤造成損失的個案大增，所以亦有保險公司提供這類保障，例如一些業務涉及電子交易的企業，會委托外判商提供及管理網上交易平台，如證實導致資料外洩的失誤是出在對方身上，投保人便可獲得保障，而保險公司則保留向外判商追討損失的權利。」 事實上，網絡安全保險的保障範圍可以很全面，不過，盧子頴強調與其他保險產品一樣，投保的概念並非為了賺錢，而是減少損失。不過，是否所有企業也需要投保？他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information（PII），而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料？如需管有這些敏感資料，受黑客攻擊的風險便會增加，企業管理者應認真考慮投保，特別是全球各地都開始為保障個人私隱立法，歐盟通過的 GDPR…

雲端應用雖然已大行其道，不過，不少企業管理者仍然無法信任其安全性。最近一份針對亞太地區企業進行的安全調查報告《Data Security APAC 2019》顯示，發展成熟的企業當中，只得 27% 認為公共雲（Public Cloud）有足夠的網絡安全功能。而整個亞洲區的企業中，有 73% 受訪者認為資料外洩是無可避免，這可能跟超過 75% 企業管理者未能了解如何可安全保護業務有關。 增加攻擊難度 企業要提升公共雲的防禦力，可從設定嚴緊的登入措施及加密數據著手。首先企業管理者要釐清各員工的登入權限，可有效阻止未獲授權的員工接觸重要的文件或作業；不過，如登入帳戶資料被盜取，黑客一樣可以登入雲端應用竊取資料，所以企業亦應考慮採用多重因素認證（Multi-Factor Authentication）機制，例如以 USB、藍牙硬體鎖作為 Security key，員工登入帳戶時必須持有這硬體鎖，這樣即使登入名稱及密碼外洩，黑客亦無法登入帳戶，減少公司機密資料被盜取的風險。 另一方面，雖然公共雲供應商有提供網絡安全措施，但客戶並不能單純依靠對方的防護，因為客戶本身存有分擔責任（shared responsibility），必須採取足夠的手段去保護儲存在雲端的資料，否則亦難以追討賠償。而要確保數據安全，最好便是選用加密技術，例如 tokenisation 或 cyptographic 等工具，將數據亂碼化或以金鑰作保護，即使數據被盜用，或於轉送中褒被攔截，黑客亦難以破解及還原數據的內容。 雖然 MFA 或 Tokenisation 都是非常有效的保護公共雲手段，但在今次調查報告中，企業的採用率都不高，前者少於 50%，後者更少於 20%。隨著全球各地陸續立法管制數據安全，資料外洩已不單只會影響商譽，更有可能為企業帶來災難性的金錢賠償，要避免企業營運陷入困境，由今日開始，就要立即採取措施，守好雲端上的數據。 （article sponsored by Edvance)

資安產品評級網站 Comparitech 比較全球 60 個國家，並將日本評為全球最安全，阿爾及利亞則被評為最危險。 Comparitech 以下列七項作評分，分別是： 手機被惡意軟件感染百份比電腦被惡意軟件感染百份比金融惡意軟件攻擊數目Telnet Attacks 攻擊百份比（以發動國家計）Cryptominer 攻擊百份比網絡攻擊準備程度網絡安全立法更新程度 首 5 項以 2018 年內事故計算，而準備程度則以 Global Cybersecurity Index (GCI)…