有調查指，全球每 11 秒便有機構受勒索軟件攻擊，平均勒索金額高達 200 萬美金，導致企業平均 downtime 23 日。有駭客甚至針對 backup 及雲端數據展開攻擊，即使有備份都恢復不到數據。 針對一般企業應對駭客攻擊的不足之處，數據保護領域先驅 Veritas 香港及澳門總經理 Willie Hung 表示，由於企業儲存的數據資料愈來愈多，儲存於 premises、cloud 甚至 edge server，因此被駭客攻擊的…

守護社會大眾網絡安全，的確「任何仁」都做得。愛爾蘭政府用於查證市民疫苗注射、檢疫記錄的網站，竟然手殘註冊了一個串字有錯誤的網址，好在兩個眼利國民及早發現，主動註冊正確網址再將訪問請求轉駁返官網，否則隨時可被有心人搶佔用作釣魚網站，令市民私隱陷入危機。 上星期五，愛爾蘭政府啟動新服務，允許過去六個月內的新冠病毒康復市民到網站登記，填寫個人資料以領取數碼新冠病毒認證。這張認證除了康復者可以獲取，其他還有已接種疫苗及最近曾獲陰性檢查的國民，讓他們可以自由出入當地餐廳酒吧，以及在歐盟成員國及歐洲經濟區免檢出入境。 官方原本登記的網域名稱應該是 irishcovidcertificateportal .org，不過，有兩個眼利的市民──記者 Adam Conway 及電腦科學生 Fionn Kelleher 卻發現，註冊的網域名稱竟然在 certificate 部分少了一個i字。他們於是立即買下正確網域名稱，再將網站訪問請求自動轉駁回官方錯誤註冊的網址。二人表示，如果錯誤被犯罪份子發現，他們便可搶先註冊該網域名稱，然後偽裝成官方登記網站，誤導愛爾蘭市民填寫個人私隱資料。由於真假網站之間只相差了一個i字，市民被騙風險非常高，因此二人才急於買下該域名。 除了這個低級錯誤，Dell 軟件工程經理 David Molamphy 認為愛爾蘭政府還有其他可改善的地方，他認為比起以 .org 註冊網址，政府應考慮將網頁納入…

歷時經年的新冠肺炎疫情轉趨緩和，然而疫情催生的打工仔在家工作、遠距辦公等安排已成為新常態。有本地科技公司近日研發了一款以定位科技為基礎的智能企業管理糸統，可讓企業主管掌握在家或者遠距工作的員工，其上下班時間、工作時數等；在辦公室工作期間，亦可隨時隨地發出求助通知，尋找最就近的同事協助處理工作事項。 這套系統名為「H2O」（Home to Office），由隨賞科技（Compathnion）研發。本身主打室內定位技術的隨賞科技，在新冠肺炎疫情下頗受本地創科界關注，皆因政府用於監察受強制檢疫人士，是否留在指定檢疫地點的「居安抗疫」程式及手帶，其背後的地理圍欄（Geo-fencing）技術方案便是來自隨賞科技。 預先設定工作地點作偵測 自動簽到 公司創辦人陳智銓接受專訪時指出，今次新推出的 H2O 是一款手機應用程式（App）。程式提供員工簽到功能，只要員工預先在平台上設定工作地點（例如辦公室、家中），當系統偵測到員工進入了所設定的工作地點範圍，員工即可利用程式簽到，以及下班時打卡。他強調，員工可以跟僱主商討及設定位置分享時限，「可以是上班半小時、一小時後便關上，亦可以選擇在整個上班時間、朝十晚七地分享。」 H2O 程式利用 Wi-Fi 訊號進行定位記錄，藉以記錄員工上下班時間、工作時數等。（被訪者提供圖片） 隨賞科技的室內定位技術，標榜毋須藍牙信標（Beacon）等硬件支援，主要藉 Wi-Fi 訊號計算位置距離。陳智銓強調，無論是 H2O 抑或居安抗疫程式，均是以用戶手機所接收到的 Wi-Fi 訊號變化，來判斷他有否離開劃定範圍。…

美國最大燃油供應商 Colonial Pipeline 早前遭勒索軟件（Ransomeware）突襲，要啟動應急方案，暫停所有的管道作業。這宗影響美國東岸 45％ 燃料供應的網絡攻擊，驚動美國政府，運輸部當日（5 月 9 日）宣佈全國進入緊急狀態，總統 Biden 需親自回應事件。而經 FBI 調查後，揭發幕後黑手為 2020 年 8 月組團的 DarkSide，後者除了滲透 Colonial Pipeline…

今朝一早老編打來催稿，仲鬧 Neo 寫 D 嘢，一岩一忽，九唔答八，點同讀者交代；我話，趕住搵食，一個鐘要出稿，你期望 D 乜呢？老編話，我唔理，總之今次要寫 D 嘢出黎。我話，吓？ 好啦，要寫 D 嘢，所以去左個「香港內地網絡安全論壇」，冇報名惟有靜雞雞捐入去聽。一聽，水平又幾高，因為唔係賣藥，而係討論未來 Smart City 的問題，講困難多過講答案，好。Neo 從中吸左唔少，頗有 insight。 Related Posts 【專家主場】略評…

上月教育行業受勒索軟件影響之後，英國國家網絡安全中心（National Cyber​​ Security Center, NCSC）就如何保護網絡免受網絡犯罪分子侵擾提出建議，並警告針對學校、學院和大學的勒索軟件攻擊激增。 政府通訊信總部（Government Communications Headquarters, GCHQ）網絡安全部門的警報指，在過去一個月中，針對教育的勒索軟件攻擊數量激增，而與此同時，學校亦正準備恢復面授課程。 勒索軟件會攻擊加密伺服器和數據，從而阻止組織提供服務，在這種情況下，網絡罪犯企圖令學校和大學因要維持教學，而屈服於勒索要求，並要求受害者以比特幣支付贖金，換取恢復網絡的解密密鑰。而在最近受影響的教育機構中，勒索軟件令學生課程、學校財務記錄以及與 COVID-19 測試的有關數據損失。這些黑客威脅如果他們沒有得到贖金，便會發布被盜數據。 NCSC 運營總監 Paul Chichester 表示，任何網絡犯罪分子以教育行業作為目標，是完全不能接受的，並指這是一個日益嚴重的威脅，強烈鼓勵學校、學院和大學跟從指引採取行動，確保學生能不受干擾。NCSC的網絡安全建議包括制定有效的漏洞管理策略和安裝安全修補應用程式；以多重因素身份驗證，保護遙距線上服務，以及安裝和啟用防病毒軟件。 另外，NCSC 亦建議組織作離線備份，倘遇到因勒索軟件攻擊而需關閉網絡，仍可在不需支付贖金的情況下，恢復內容。 NCSC…

COVID19 推動 Work From Anywhere，打工仔覺得更有效率，但管理層覺得屏幕濾走積極與熱情，畢竟值班行山這類例子並不罕見，特別疫下百業蕭條，中層更加需要證據證明大家盡忠職守，每日最早與早夜的電郵收發時間已不能成為勤力指標，遠程工作下應有另一套管理規範，但員工老闆們暫時未必有共識。 新一代「提升效率工具」，讓僱主可以全方位洞察員工如何運用工作時間，包括瀏覽歷史、App Screen Time、甚至微管理至 Keystrokes Logging 與 Desktop Session，換句話可說是「攞正牌的黑客」。Skillcast 與 YouGov 2020 年 12 月調查顯示，20％ 僱主正在或有意引入監察員工線上活動工具；英國的…

政府明日（1 月 30 日）就引入電話智能卡實名登記制度的安排展開公眾諮詢，徵詢電訊業、相關持份者和市民的意見，指為促進本地電訊服務發展，及有效打擊涉及電話智能卡的犯罪活動。 現時本港流動電話用戶主要透過智能卡服務計劃（服務計劃）和預付儲值電話智能卡（電話儲值卡或俗稱「太空卡」）使用相關服務，其中電話儲值卡用戶無須簽訂固定合約或登記個人資料。 政府指，由於電話儲值卡的匿名性質被不法之徒利用作違法活動，但現時並無法例規定須登記此類儲值卡用戶資料，執法機關難以追查、鎖定這些違法活動的幕後涉事人，又指過去有不少電話騙案，利用電話儲值卡匿名性質犯案。匿名儲值卡經常被用於各式各樣的騙案，包括電話騙案、網上購物騙案、求職騙案、投資騙案等，令受害市民蒙受損失。 商務及經濟發展局局長邱騰華表示，有迫切需要透過引入實名登記制度，堵塞漏洞，防止和協助偵查涉及使用電話儲值卡的罪案，並維持市民對本港電訊服務的信心。保安局副局長區志光則指，涉及本地流動電話犯案的嚴重罪行中，超過七成涉及使用匿名儲值卡，而電話騙案當中的比例更高達九成，匿名儲值卡有利不法之徒逃避身分識別、追蹤和偵查，即使犯案人士被捕，幕後的犯罪集團主腦往往能置身事外，而盡快落實實名登記制度，有助打擊和防範不法之徒利用匿名儲值卡犯案，從而保障市民的人身和財產安全。 政府計劃透過《電訊條例》訂立規例實施電話智能卡實名登記制度，提供所需的法律基礎讓電訊商按規例的要求登記、收集和儲存用戶的登記資料，將涵蓋所有由本地電訊商發出及在香港使用的電話智能卡。 實名登記制度主要規定如下： （一）用戶須提供身分證明文件（香港身份證或其他可接受的身分證明文件如旅客的旅遊證件）內的資料，包括姓名、出生日期和身分證明文件號碼及其副本，以作登記； 若公司或企業要登記成為電話智能卡用戶，則須提供其商業登記資料及指定某人士作為代表或負責人，並提供該名人士的個人資料； （二）16歲以下人士如需登記電話智能卡服務，相關登記必須得到一位「合適成人」的確認； （三）每名用戶只可向每間提供公共流動服務的電訊商登記不多於三張電話儲值卡； （四）電訊商應核對、釐清及核實用戶提供的資料，並在有合理理由認為有關資料屬虛假、誤導或不完整的情況下，取消有關電話智能卡的登記； （五）電訊商需在電話智能卡取消登記後，保存相關登記用戶的紀錄最少12個月； （六）登記的個人資料由相關電訊商保存，不會向他人包括政府或執法部門披露。執法部門在有需要時才可按規例向電訊商索取電話智能卡的登記資料； （七）按規例執法部門只能獲取電話卡的登記資料（即姓名、基本身份證資料），並不包括通話紀錄及內容。在一般情況下，執法部門須得到法庭手令，但在某些迫切或緊急事件的特殊情況下（例如涉及炸彈恐嚇、綁架等嚴重罪案），執法部門可在一名不低於等同警司職級的人員授權下，要求電訊商在沒有法庭手令下提供電話智能卡的登記資料。 為讓電訊商作好準備以遵照登記規定，政府建議登記制度分階段進行，規例生效 120 日後出售的新儲值卡及服務計劃才開始按規例作登記，屆時所有新的電話智能卡須先登記後才可啟用。按目前的建議，所有電話智能卡須於規例生效後的…

網絡上的不法分子不比現實歹徒善良，只是戰場不一，一宗事故對企業的影響都可以極大。早前有研究指，一宗資料外洩事故平均造成企業 368 萬美元損失，每宗事故的平均停機時間成本，自 2018 年以來，飆升 200％以上，達到 141,000 美元。以香港的情況而言，[01] 在 2019 年 11 月至2020 年 10 月期間，網安事故大多是來自殭屍網絡及釣魚電郵攻擊，分別佔本港市場上的網絡攻擊 52.1%（4,330宗） 及 39.4%（3,277宗）［註1］。在疫情催化下，不少企業推行遙距工作政策，因此需要將資料放到雲端以便工作，亦成為新常態（new normal），但企業所面對的網絡攻擊所引致的資料外洩風險也隨之提高。 智選專家助企業保本及化險爲夷 要為資訊安全漏洞和資料外洩風險做好準備，如果能得到一班可靠的資安專家的協助，為保安事故做好應對準備，必然是最佳解決方案。在 IT 人才短缺的情況下，公司也未必有足夠資源，聘請專責處理事故的人員跟進，加上資料外洩事故時有發生，如果沒有專家解難，長久下去，恐怕會令公司蒙受更大損失。[02] 因此，網絡安全事故應變（Incident Response, IR）服務便應運而生，以應對五花八門的網絡安全問題，而從企業開支的角度來看，成立 IR 團隊可以平均節省 200 萬美元的資料外洩成本［註2］，幫到手之餘又能節省成本！ 網絡風險管理六步曲 有效救火止「洩」 那麼究竟 IR 實際上如何運作及發揮作用？IR 能有系統地處理網絡事故，由一群安全專家針對不同資訊安全狀況，擬定最適切的應對方案及策略。情況就好像消防員來到火警現場，先要評估現場情況，找出起火點，繼而評估受影響範圍，再定出處理策略，以遏制並消除威脅。IR 解決方案引入獲國際認可的網絡安全框架 SANS（美國系統網路安全研究機構）及NIST（美國國家標準技術研究院），並根據企業組織的不同狀況，按照既定流程進行網絡風險管理。網絡安全框架分爲6個應變階段：首先，檢視客戶對網絡安全事故應變的準備程度，並助建立監控及應變機制（準備 Prepare）。在接到客戶網絡安全事故報告後，確認是否事故（鑑定Identify），再繼而評估嚴重性，並快速作回應；確定事件的受影響範圍和嚴重性，控制入侵範圍，避免進一步擴大（遏制 Contain）；繼而分析攻擊來源，再加以清除 （消除 Eradicate），盡可能恢復在事故中損失的數據，協助恢復正常業務運作，並監測攻擊會否捲土重來（恢復 Recovery）；最後，提交初步評估報告，詳述每宗事故所採取的措施及從事故中學習，並可行建議及策略，加強網絡保安能力（檢討 Lesson Learnt）。總括而言，採用 IR 策略，可以降低來自內及外的威脅所帶來的影響，並且找出引起威脅的原因，根除威脅源頭，有利於管理未來的風險。 本地專業團隊24×7支援 隨時候命 HKT 網絡安全事故應變（Incident Response, IR）服務，由新世代網絡安全監控中心（Next Generation Security Operations Center）及本地網絡安全專家團隊，全天候 24×7 支援客戶。專家團隊經驗豐富具備不同範疇的國際標準安全認證資格，例如：GCFA、GPEN、GCIH、GCFE、GCTI、GNFA、GWAFT、GICSP、CISA、OSCP、CISSP、CISM、CCSP、CompTIA Security+、GREM、GXPN、GCIA、GASF、EnCE、ACE，能深入了解不同行業的企業及機構需要。企業尋求協助時，亦毋需受語言不通困擾，而且專家身在處同一時間區域，避免因時差延誤支援而導致損失。專家團隊透過可靠的本地及環球威脅情報，能快速針對漏洞作出應對，有效協助企業處理安全事件，將破壞程度減至最低，避免業務中斷或停止運作。 此IR服務曾為客戶處理在近年十分猖獗，並且針對CEO、高層主管等的變臉郵件詐騙（Business Email…

網絡攻擊愈趨複雜及精密，加上銀行業又是公認的攻擊對象，面對如此高危的環境，香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative， CFI)，通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構（Cyber Resilience Assessment Framework， C-RAF）是一套以風險為基礎的評估框架，內裏的評估項目多達400多項，主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ，評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ；其次會通過審核現有的安全措施，包括監管、偵測機制、保護工具、危機管理及應對政策，以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求，銀行就要按照金管局建議的改善措施提升安全成熟度，直至合符相應的要求。如果金融業的固有風險達到中至高程度，就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…