公司被黑客入侵，好多時都因為員工疏忽，錯誤開啟了電郵內的惡意連結或附件，不過在怪責他們的同時，企業管理者有否反思公司提供的網絡安全訓練是否足夠？內容能否吸引同事細心閱讀？記著以下 5 個要點，才可令同事在培訓課程時專心及上心。 有調查顯示，企業被入侵的原因九成出於員工誤開釣魚電郵，而且隨著疫情下在家工作 (Work From Home) 變得普及，員工在公司以外環境下工作，防禦力自然更薄弱，因此有必要提高員工的網絡安全意識，於源頭阻截惡意攻擊。不過，有企業管理者會懷疑，明明公司已提供各種網絡安全培訓，為什麼員工就是無法上心？歸根究底，問題可能出在培訓課程之上。不妨留意以下幾點，重新審視安全培訓課程內容，才能讓課程變得有效率及有意義。 1. 內容要專 一個優質的課程，內容必須夠專及到位，必須因應行業特性安排培訓內容，而不是隨便拿取網上的網絡安全培訓樣本使用，以金融業為例，同事可能須更注意各種合規要求，貿易公司則可能面對較多商業詐騙電郵 (BEC) 攻擊，不能一概而論。 2. 真實事例 在準備培訓內容時，必須加入真實事例講解，以釣魚攻擊為例，如只告訴員工釣魚攻擊可令電腦中毒，員工未必意會到有多嚴重。應該清楚舉例說明黑客的攻擊手段，例如會引誘員工開啟惡意附件，或預先架設一個虛假網站套取帳戶登入資料，員工才會理解如何防範。 3. 簡潔說明 這點不難理解，培訓課程的時間不應太長，解說亦要簡潔到位，員工才不會因說明時間太長而失去集中力。如果能夠加入有趣的例子或互動元素，自然更容易上心。 4. 高透明度 公司引入各種網絡安全守則及工具，雖然出發點是為了公司及員工著想，但始終會引來員工疑慮，擔心公司會以安全為名，實則加強監控工作。因此企業管理者必須詳細解釋安全守則及工具的內容及會收集到哪些資料，讓員工清楚理解不會侵犯其私隱，員工才會樂於按照安全指引辦事。 5. 因人而異 每個同事對網絡安全的認知不一，因此培訓內容也要作出調校，企業管理者可安排員工接受安全測試，因應其安全意識分成不同的小組並提供合適的課程內容，這做法不單可找出高風險員工優先培訓，更不會因課程內容太深或太淺，令員工失去專注力。…

更多精彩賽事 → 安領科技盃2020

Coinbase上市以及虛擬資產的市場波動都是最近的城中熱話，相信不少有投資虛擬貨幣的朋友都有聽過Coinbase，它是虛擬資產交易所，總部位於美國，上市後估值近64億美金，其獨壟斷地位令這個美國上市虛擬資產交易所的市值比其他傳統交易所都要高。 金融世界和科技世界都是winner takes all，Coinbase上市後成為一間既合規又具規模的交易所，不少上市公司如香港的美圖、美國的Tesla和MicroStrategy都是Coinbase的客戶，原因十分簡單，Coinbase在眾多的交易所之中最合規，上市公司如要投資虛擬資產，就要選一個市場安心自己放心的平台，一旦監管機構或審計師查起上來，看見這些上市公司選用的是Coinbase，問題也自然少一點。因此Coinbase在虛擬資產交易所市場一早入局，有開荒牛的優勢。 今天虛擬資產市場能發展得成行成市，好多人都會問虛擬資產如比特幣的價值何在，一個看似沒有回報的東西，比特幣價格的頂會在哪裡？這個問題，似乎香港經濟學太祖張五常先生多年前已在研究藝術市場時找到答案了。虛擬資產與藝術品於特性上有點相似，所以張五常先生用於解釋藝術品的道理亦可以解釋於虛擬資產之上。 張五常於藝術品世界提出了倉庫理論，指財富要找尋合適的倉庫去累積，倉庫可以是有回報的資產，或無生產力的物品。有回報的資產其中一個例子就是債券，這些有回報的資產價值都是有上限的，其上限就是預期收入的折現價值，債券的價格視乎幾期利息以及當時利率，債券價格不能升到無限高。 另一方面，無生產力的物品如藝術物都可以是累積財富的倉庫，藝術品的存款是收藏成本，而回報是未來價格的波動。這些倉庫都是沒有如利息般的定期現金回報，未來的回報視乎有生產力的人願意給出的價值，因為沒有折現預期收入，或者說預期收入不好計算，這些東西的價值是沒有上限的。要成為這種無生產力的倉庫有三大因素，第一是有鑑證專家，能分辨無生產力的倉庫真假，第二倉庫數量不能太多，也不能太少，有供有求才有市場，第三是成行成市，有買有賣。 至於今天虛擬資產似乎都符合張老師闡釋生產力倉庫的定義。所以有人問比特幣的頂在那裡，答案是沒有；有如藝術品一樣，只要有人買而這個東西可以保存下來，一幅畫可以賣上天價。虛擬資產雖然是數位化，卻有這些無生產力倉庫的特性。然而，跟藝術品一樣，價格可以大升大跌，沒有上限亦不代表虛擬資產價格可以一直升上天。 獅昂環球資產管理（Axion Global Asset Management）董事陸永頌

好多打工仔都試過貪方便上網搵「罐頭」invoices、問卷、收據來用，而有黑客集團就睇準機會，以財務文件的熱門搜尋字眼提升惡意網站的搜尋器排名，引誘企業員工下載藏有惡意程式的檔案。相關網站更多達 10 萬個，打工仔要小心！ 要入侵企業內部網絡，黑客除了採用正面攻擊，還有其他迂迴手法可以選擇。其中一個黑客集團 SolarMarker 所設的陷阱，就完全睇準打工仔貪方便心態。網絡安全公司 eSentire 研究員最新發表的報告便指出，SolarMarker 黑客深知有中小企業員工由於缺乏公司資源，向客戶提交 invoices、收據時，都會上網搜尋相關財務文件的樣本，並下載修改使用，於是他們就利用相關的財務文件字眼及 SEO（Search Engine Optimization）技術，提升惡意網站的搜尋器排名，令企業員工更容易發現這些惡意網站。 研究員指出，當企業員工下載所需的財務文件樣本時，實際上卻下載了 SolarMarker 的 RAT（Remote Access Trojan）木馬程式，為黑客打開進入公司內部網絡的方便之門，讓他們可以進一步安裝其他惡意軟件，例如勒索軟件、挖礦軟件等。其中一個受害個案，便是來自一間財務管理公司的員工，他在開啟一個從上述網站下載的 PDF…

雲保安是數碼轉型的一大障礙。除了成本上升，不懂得選擇供應商，以及缺乏網絡保安專才，是企業上雲時要面對的 3 大挑戰。 針對以上痛點，Palo Alto Networks 及 Deloitte 將會聯合舉辦一場 Webinar，以「Secure Cloud First with Zero Trust Mindset」為主題，兩大網絡保安專家會分享不同的企業轉型個案及相應的網絡安全方案。 想了解更多就記得登記報名：https://wepro180.activehosted.com/f/119 主題：Secure Cloud First…

《Big Breaches: Cybersecurity Lessons for Everyone》作者 Neil Daswani 呼籲企業正視內鬼。他引述數據，2005 年至 2009 年每年平均少於 25 宗內鬼洩密，2010 年至 2014 年上升至平均每年 100 宗，當中以 2013…

利用智能手機或智能裝置在網上購物，已成為不少人的消費習慣。最近有分析指，未來幾年將會有過十億智能電話、平板電腦或智能手錶用家，會常用面部識別技術作支付；研究亦指，面部識別和其他生物認證技術，將有助於流動付款者的安全付款。 有關分析由 Juniper Research 負責，除了面部特徵外，分析師還預測將會有不同的生物特徵，應用於驗證流動支付，包括指紋、虹膜和語音識別。根據研究人員表示，2025 年全球 95 ％ 智能手機具有生物特徵識別能力，而利用生物特徵作支付的交易額由 2020 年的 4,040 億美元，上升至超過 3 萬億美元交易額。 愈來愈多人使用流動裝置支付代替信用卡，令用家即使在購物時忘掉拿錢包，仍然能完成購物。電子商務生態系統正在迅速增長，但同時存在隱憂，詐騙者亦可開闢新途徑，利用新漏洞搵食，所以必須確保付款人，的確是支付帳戶的擁有人，而非被盜用。因此，識別生物特徵正朝著改善流動支付的安全性發展，由其是相對普及的面部識別。 面部識別技術的常用示例包括 Apple 的 FaceID，可用於授權從…

Android 版 WhatsApp 被發現存在兩個嚴重漏洞，只要打開一個「加料」連結訊息，惡意軟件就可以通過 Chrome 執行，讓黑客可以讀取未受保護的外部儲存區域，當中更包括 WhatsApp 用於加密訊息的金鑰，即是所有對話及傳送的檔案都可被破解！ 今次 WhatsApp 的漏洞由 Census Labs 研究員 Chartion Karamitas 發現，整個攻擊過程由一個 WhatsApp 短訊開始。研究員在影片中示範，黑客只要首先製作一個帶有惡意程式的 HTML…

更多精彩賽事 → 安領科技盃2020

很多人可能覺得勒索軟件攻擊與自己距離很遠，但即使不是被直接攻擊的對象，生活仍可以大受影響。最近荷蘭最大的物流公司遭勒索軟件攻擊，竟連累超市的芝士供應受礙，陷入短缺。千萬別再以為勒索軟件事不關己了！ 荷蘭最大的物流服務提供商之一 Bakker Logistiek，主要業務為荷蘭的超級市場提供空調倉庫和食品運輸服務。 上週 Bakker Logistiek 遭受到勒索軟件攻擊，網絡設備被加密處理，影響食品運輸和配送操作，導致荷蘭超市的芝士短缺。 Bakker 總監 Toon Verhoeven 指，該公司無法收到客戶的訂單，而且在龐大的倉庫中也難以找到產品在哪裡，運送也因而大受影響。這次事故令荷蘭最大的連鎖超市 Albert Heijn 缺少某些食品的供應，其中以芝士供應最受影響。 據報導，芝士交付被推遲了三天，造成訂單積壓和超市短缺。Verhoeven 表示，在過去一周，該公司一直在努力使系統恢復，並且庫存都已經出貨。不過他拒絕透露攻擊者是否已獲得報酬，並聲稱此案已交由警方處理。 Verhoeven 推測，黑客是透過最近公開的…