Search Results: 風險評估 (28)

    Sangfor Technologies(下稱 Sangfor)與香港電訊(HKT)簽署諒解備忘錄,達成合作夥伴關係。對於政府提出《保障關鍵基礎設施(電腦系統)條例草案》,不少企業都表示關注或有疑問,甚至擔心未能應對法規要求。Sangfor 和 HKT 均表示,雙方的頂尖網絡安全專家團隊將互相配合,攜手提供一系列解決方案,助客戶達致法例要求。 Sangfor Regional General Manager of Mature Asia-Pacific Region Ringo Yiu 表示,「今次合作希望為企業提供一系統的解決方案,並與 HKT 相互協作,助企業應對上述條例。」HKT Managing…

    網絡威脅日益增加,甚至有機會影響社會正常運作。政府於今年提出《保障關鍵基礎設施(電腦系統)條例草案》(下稱《擬議條例》),涵蓋八大產業,尤其是針對電腦系統的安全。近來,針對保障關鍵基礎設施(電腦系統)的條例草案已經引起了廣泛的討論和關注。主要是針對不斷增長的網絡攻擊和網絡罪案,保障關鍵基礎設施的安全不僅僅是一個單一機構或系統的問題,而是關乎整個香港社會和經濟運作的穩定性和安全性。 規管範疇甚廣需注意 《擬議條例》下的關鍵基礎設施,包括:為香港提供必要服務的基礎設施,如能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播;以及其他維持重要的社會和經濟活動的基礎設施,如大型體育/表演場地、科研園區等亦包括在內。 受規管的機構應及早部署,了解自身網絡安全架構之外,亦可選用合適網絡安全方案,滿足法例要求,避免違規。 關鍵基礎設施營運者的責任 上述營運者在架構、預防、事故通報及應對責任三大類別上,需履行法定責任,如無合理原因下未能符合即屬違規。以下列出部份類別上的營運者責任,對於受規管的機構而言,要在有限的人手下預防網絡威脅、制定電腦系統安全管理計劃,以及發生事故時能迅速應對、通報及提交書面報告,成為符合法規的關鍵要點。 針對條例類別    HKT 提供全面網安方案 雖然大部份基礎設施營運者機構均設有 IT 部門,但要專責處理《擬議條例》合乎要求,所需額外 IT 資源也不能低估。香港電訊(HKT)身為全港最大網絡服務供應商,在網絡層面上具備優勢,能快而準地掌握本地至全球網絡攻擊情報,加上在網絡安全範疇上經驗豐富,無論在《擬議條例》中的架構、預防或制定安全管理計劃方面,均能為企業及機構提供最佳方案,以符合新法例要求。 架構、預防及制管   一 一應對 在架構方面,無論在資金或人手上都需要投放大量資源,企業可採用網絡安全託管服務,將網絡安全工作外判,減輕企業負擔。HKT 透過注入 AI…

    政府建議制定《保障關鍵基礎設施(電腦系統)條例》,提出就保護關鍵基礎設施立法,涵蓋 8 個界別,違反機構最高可判罰港幣 50 萬元至 500 萬元不等。當局將展開為期一個月的諮詢,計劃今年底前將草案提交立法會審議。 想知最新科技新聞?立即免費訂閱! 根據保安局、政府資訊科技總監辦公室及警務處向立法會提交文件顯示,條例擬涵蓋 8 類必要服務行業,包括能源、資訊科技、銀行和金融服務、海陸空交通、醫療保健、通訊廣播等;另外亦包括大型體育及表演場地、科研園區等。營運者要承擔的部分法定責任主要分三類,包括架構、預防、事故通報及應對。 架構方面 —營運者須在本港設有辦事處—報告設施的擁有權和營運權變更—設立電腦系統安全管理部門,由營運者公司專責主管監管 預防方面 — 制定、實施及提交電腦系統安全管理計劃 — 報告「關鍵電腦系統」重大變化,包括設計、配置、安全或運行等 — 每年要做至少一次電腦系統保安風險評估及提交報告,以及至少每兩年要做一次獨立的電腦系統保安審計。…

    網絡安全問題引來大眾關注,立法會《數據透視》指出,2023 年科技罪案按年急升 49.6% 至 34,112 宗;而初次被警方列為個別統計類別網絡釣魚,則成為企業最常遇到的網絡攻擊類型,甚至有近半數保安事故個案都是來自網絡釣魚。 想知最新科技新聞?立即免費訂閱! 過去 5 年間,香港科技罪案的增長在其中 4 年裡遠超整體罪案率增幅。2023 年科技罪案按年躍升 49.6% 至 34,112 宗,依次為「網上購物騙案」,其次是「網上投資騙案 」及「網絡釣魚騙案」,值得注意的是,網絡釣魚詐騙案在 2023 年首次被列為個別統計類別,顯示此類網絡攻擊在香港日益嚴重。…

    人工智能(AI)時代來臨,不少企業開始進行數碼轉型,AI 應用日漸普及,與此同時衍生出不少私隱風險。為應對其對個人資料私隱帶來的挑戰,個人資料私隱專員公署發布《人工智能(AI):個人資料保障模範框架》,並涵蓋 4 大範疇,提出建議措施。 想知最新科技新聞?立即免費訂閱! 個人資料私隱專員鍾麗玲指,香港企業多透過生成式 AI 應用於聊天機械人,或文字辨識工具,但機構使用個人資料訓練 AI 時,未必有意識確保個人資料私隱安全。而《模範框架》參照了國際使用人工智能的常規,旨在協助機構在採購、實施及使用 AI 時遵從《個人資料(私隱)條例》,並有助規範相關行業,促進 AI 在香港的健康發展。 框架就以下四個範疇提出建議措施: 制定 AI 策略及管治架構:制定機構的 AI 策略及採購…

    網站作為企業與外界溝通交流的重要橋樑,承載著大量的敏感資訊和使用者資料。然而,與此同時,網路安全威脅也層出不窮,資料洩露事件時有發生,給企業和個人帶來了巨大的風險和潛在損失。本文將介紹兩種快速檢查網站資料洩露風險的方法,包括檢查網站後門檔案、查看伺服器日誌異常記錄。這些方法能夠幫助網站管理員及時發現並應對潛在的安全風險。 想睇更多專家見解?立即免費訂閱! 方法一:檢查網站是否存在後門檔案 後門檔案通常是黑客為了再次入侵或控制網站而留下的文件。您可以通過檢查網站伺服器上的目錄,例如查看網站根目錄、主題目錄、外掛程式目錄等地方,查找是否存在異常的檔案或程式碼。您可以使用網站管理後台進行查看和對比原始版本的網站源碼。如果發現可疑檔案,建議立即進行審查並刪除。 方法二:檢查伺服器日誌是否存在異常記錄 伺服器日誌記錄了網站運行的各種資訊,包括使用者連接、系統錯誤、安全事件等。通過查看伺服器日誌,您可以發現是否有異常的連接或攻擊記錄。透過查看安全相關的日誌,如訪問日誌、錯誤日誌和安全性記錄檔。舉例說,如果發現大量來自同一 IP 位址的請求、或是從未知 IP 的未授權訪問或異常的錯誤資訊,可能意味著網站遭受了攻擊或存在資料洩露的風險。 網站程式會因業務需要存放大量資料。敏感資料外泄因而很多時候與網站漏洞有關,檢查這些漏洞並修復它們,對於保障網站資料安全至關重要。但要注意的是,這些方法只能提供初步的資料洩露風險檢查,並不能完全保證網站的安全性。為確保網站資料的安全,建議定期進行全面的安全檢測和風險評估,並學習發現與修復網站漏洞。 此外,為了進一步提升網站的安全性,建議採取以下措施: 1. 定期更新和升級網站及伺服器軟件,確保使用最新版本,以修復已知的安全性漏洞。 2. 使用複雜的密碼,並定期更換密碼,避免使用容易猜測的密碼。 3. 限制對網站敏感區域的存取權限,確保只有授權的用戶才能訪問敏感性資料和功能。 4. 部署防火牆和安全防護軟硬件,阻止惡意攻擊。…

    由編寫研究報告到譜出詼諧詩篇,AI 人工智能贏得了科技愛好者、企業主管與消費者的心。但該技術亦引起了黑客與保安專家的關注。Forrester 研究指出,近 80% 的網絡安全決策人員預期,AI會增加網絡入侵的攻擊規模和速度。 AI — 網絡安全的雙刃劍 對企業和入侵者而言,AI 在改變行業遊戲規則。在企業嘗試使用 AI 來推動數碼業務時,入侵者亦利用AI來強化網絡攻擊。 生成式人工智能(GenAI) 工具現時成本很低又易取得,令攻擊者能夠快速發動「社交工程攻擊」,例如偽冒企業在社交媒體上進行詐騙銷售活動破壞企業聲譽、又或利用超現實網絡釣魚方式偽造企業通訊。AI 可令攻擊自動化,加速處理被盜的數據,亦能更快發動攻擊。對入侵者而言這是一個加快網絡攻擊的理想工具。如果企業只利用現有技術及工具,偵測和阻檔攻擊將更困難。 企業是時候利用 AI 來革新網絡安全,加強防禦策略。為協助企業充分採用人工智能技術,中信國際電訊 CPC 最近推出了…

    常用解壓縮軟件 WinRAR 被發現高危漏洞,用戶如不慎解壓縮由黑客特製的 .RAR 文件,黑客即可從遠端入侵電腦,WinRAR 用戶應盡快升級至 6.23 以上版本。 想知最新科技新聞?立即免費訂閱 ! 資安網站 Zero Day Initiative 日前表示,在 WinRAR 中出現編號為「CVE-2023-40477」的高危漏洞,該漏洞可讓黑客從遠端控制使用者電腦,植入並打開惡意軟件,感染電腦系統。 是次漏洞需要誘騙用戶打開 .RAR 檔案,故風險評估僅為…

    【輕鬆升級】QNAP ADRA NDR 內部網絡安全方案 防火牆(Firewall)相信各位都不會陌生,它是商用網絡的標準配備,主要是阻檔由外部網絡的入侵。不過,近年惡意程式(Malware)肆虐,入侵往往是來自已被感染的內部網絡裝置,故防火牆未必可應付。QNAP 推出的 ADRA NDR(Network Detection and Response)方案,正是從內部升級網絡安全。 入侵來源轉變 過住,中小企網絡安全的的威脅主要來自外部入侵,故只需利用防火牆作阻檔。不過,惡意程式的出現,完全顛覆了網絡安全的思路。惡意程式可以通過網絡、外部存儲裝置、電子郵件等方式感染目標裝置,包括電腦、智能手機、平板機甚至各種的 IoT 裝置,再利用已被感染裝置從內部網絡進行入侵。用家雖可預先為所有電腦、智能裝置獨立安全防衛軟件,但這涉及大量軟件授權費用、安裝、管理成本,對缺乏 IT 支援的中小企實是有難度。 被惡意程式感染的裝置從內部網絡進行入侵。 整合於智能交換器內 QNAP…

    雲端服務逐漸發展,各種雲原生解決方案越趨成熟,許多企業逐漸將傳統機房搬至雲端,省去了許多維護設備的花費與心力之餘,變得更靈活和容易擴充。同時,雲端資安也成為重要議題。在雲端服務供應商對資安的重視與強化之下,不論是從底層的硬體與傳輸加密,以至對外部攻擊的防護工具,都已具備相當的保護。事實上很多時造成資料外洩的原因,是使用者的操作不慎與錯誤配置。 想睇更多專家見解?立即免費訂閱 ! 據 2022 年數據洩漏調查報告(2022 DBIR)指出,82% 資料洩漏是人為導致,不論是盜取的憑證、網絡釣魚、資源或權限的濫用。員工有可能不慎開啟釣魚信件,或遭利用人性弱點來欺騙的社交工程攻擊,致帳號及密碼流出,也可能因不慎將應用程式使用的金鑰放至公開平台上,令重要資料外洩。 此外,全球權威 IT 與顧問諮詢公司 Gartner 也預測,到 2025 年,全球雲端資安事故中,將有 99% 因使用者失誤或錯誤配置而導致。舉例來說,近期就有一家租賃公司因雲端伺服器配置不當,有心人士只要得知其 IP,便可自由存取資料庫內的會員資料。加密貨幣交易平台 Coinbase 也傳出因員工遭釣魚及詐騙,黑客成功取得相關帳號密碼,再獲得部分員工的聯絡資訊。…