Browsing: SME

    中小企的資訊科技(IT)資源緊絀,亦未必清楚企業的網絡安全狀況,以為自己不會成為黑客的攻擊對象,一旦遭受網絡攻擊,隨時損失慘重。香港生產力促進局(生產力局)特別為中小企度身訂造一項「網絡安全驗身」服務,以國際認可網絡安全標準提供全面針對網絡安全的評估服務,讓中小企了解業界網絡安全基準與差距。生產力局並提供一系列「對症下藥」的解決方案或培訓建議,協助中小企全面分析企業的網絡安全情況,找出改善空間。 生產力局去年 11 月公布的「HKT 香港企業網絡保安準備指數 2022」調查,總共訪問了 367 間企業,其中逾八成屬中小企。結果顯示,65% 受訪企業過去 12 個月內曾遇到網絡安全攻擊,較前一年上升 24%;此外,48% 企業指欠缺網絡保安支援及管理人手,為最大網絡保安管理挑戰。 逾200評估項目 只需兩天 面對層出不窮的網絡保安挑戰,加上 IT 人手不足的兩面夾擊,中小企必須先了解自身網絡安全狀況。有見及此,生產力局推出「中小企網絡安全及私隱成熟度評估」服務,當中包括四節共 16 小時的一對一評估工作坊,需時約兩天,包含逾 200…

    千祈唔好以為黑客只針對大型企業,無論是甚麼規模的企業,一樣要做好網絡安全的措施,即使是小型企業,一樣有方法避免中伏。 網絡攻擊對於小型企業來說,可能並非首要考慮的事情,網絡犯罪分子貌似多數只針對具規模、有利可圖的目標;然而事實是小型企業同樣會成為黑客和網絡犯罪分子的目標,因為小型企業同樣手握各種機密數據,例如個人資料、信用卡資料、密碼等,黑客一樣會虎視眈眈。但相對中型企業或大型企業,小型企業的資訊安全意識及保護措施相對較弱,尤其是在沒有專業網絡安全員工的情況下,致使危險度也增加。 小型企業成為供應鏈攻擊的一部分,主要是黑客能透過他們獲得大公司的存取權:從入侵可能是大型機構供應商的小型企業,攻擊者可以利用存取權滲透網絡,攻擊其商業夥伴。 小型企業遭遇無論是網絡釣魚、勒索軟件、惡意軟件,還是攻擊者擁有存取權和篡改數據權限的任何其他類型的惡意活動,其所導致的結果都可以是極具毀滅性,甚至有網絡攻擊受害者因此而永久關閉。 以下是 ZDNet 提供的自保招式,提醒小型企業如何避免墮入一些基本網絡安全陷阱。 1.不要使用弱密碼來保護線上帳戶 網絡犯罪分子並不一定具備超強技能,才能入侵企業電子郵件帳戶和其他應用程式,因為很多時他們能夠進入企業系統,純粹是因為帳戶擁有者使用弱密碼或容易猜測的密碼;同時使用雲端辦公應用程式和遙距工作模式的轉變,也為網絡犯罪分子提供了更多攻擊機會。 記住許多不同的密碼可能很困難,因此不少人在多個帳戶中使用簡單的密碼,導致帳戶和企業易受網絡攻擊,特別是如果網絡犯罪分子使用暴力攻擊以常用或簡單密碼列表作嘗試。另外,也不應該將密碼設定為易於發現的訊息,例如最喜歡的球隊或寵物名字,因為社交媒體上的資料,或成為密碼線索。 國家網絡安全中心 (NCSC) 建議使用由三個隨機單詞組成的密碼,並指這個策略能令密碼難以猜測。另外,應該使用不同的密碼來保護每個帳戶,使用密碼管理器可以幫助用戶消除記住每個密碼的煩惱。 2.不要忽略使用多因素身份驗證(MFA) 即使已採用強密碼,密碼仍有可能落入壞人手中。網絡犯罪分子可以使用網絡釣魚攻擊等方式,來竊取用戶的登入資料。多因素身份驗證會要求用戶響應警報,來確認是他們本人嘗試登入帳戶,讓入侵帳戶增添障礙:即使網絡犯罪分子擁有正確的密碼,他們也無法在沒有帳戶擁有者批准之下,使用該帳戶。如果用戶收到意外警報,提示有人正嘗試登入其帳戶,他們應向其 IT 或安全團隊報告,並立即重置密碼,避免網絡犯罪分子繼續嘗試利用被盜密碼。 儘管使用多因素身份驗證或雙因素身份驗證 (2FA),已是最常建議採用的網絡安全措施之一,但許多企業仍沒使用,令人憂心。 3.…

    Black Friday 將至,相信不少網民已磨拳擦掌,準備大舉掃平貨。黑客同樣準備好過肥年,英國網絡安全中心 NCSC 正加緊巡查國內的電子商貿平台,特別是由中小企所成立的網購網站,由於缺乏安全意識,以至 NCSC 已先後向 4,151 個零售網站發出安全警告,指網站已被黑客入侵,客戶私隱正處於高風險。 不少購平台都會採用電子商務系統 Magento,因為它的功能豐富,但亦同時成為黑客攻擊的頭號目標。例如在今年初,網絡安全專家已指出有犯罪集團正利用 Magento 的已知漏洞,向仍未安裝安全更新的客戶發動攻擊。事隔半年有多,情況似乎未有改善,因此 NCSC 便趕在傳統購物旺季前,加緊於網上巡邏,搜尋國內仍存在漏洞的網購網站,以趕在旺季來臨前堵塞漏露,保護網站及潛在顧客。 一般來說,針對電子商貿平台的攻擊都是以盜取信用卡資料為主,犯罪集團會利用各種方法達成目標,例如於目標網站留言區注入惡意編碼的跨平台腳本 (Cross-Site Scripting) 攻擊,或暗中入侵網站的付款頁面,記錄客戶每一筆消費資料,而盜取的信用卡資料便可讓黑客冒名使用。雖然現時不少 Web…

    在辦公室工作更有效率?在家工作更具效益?2020 年,讓企業知道兩者可以並存。由思科(Cisco)委託進行《未來勞動力》(Workforce of the Future)調查報告,就發現有 87% 的香港僱員表示,即使辦公室如常開放,仍希望享有更多自主權,自由選擇在家或在辦公室工作及管理工作時間。混合式工作場景有望成為全新的工作模式,公司營運可以更具成本效益,員工亦可享更大的自由度。想要工作效率不受地域所限,雲端 IT 管理方案的角色更見重要,然而中小企的資源限制多,往往連老板、員工都要兼任 IT 管理的工作。面對各式 IT 難題應該如何自處?思科(Cisco)歸納了中小企在混合辦公模式下常遇到的 IT 難題,其實只要選擇合適網絡工具和服務,中小企也可以輕易適應將來難以預期的變化。 網絡會議甩漏多 穩定協作最關鍵 工作需要團隊合作,清楚的工作流程和良好的溝通,才能令合作有效率甚至事半功倍。混合式工作場景,涉及到團隊中分別在家中工作和在辦公室工的成員,一般都會選擇視像會議去代替慣常的直接會面。單對單的會面還不難處理,遇上涉及多人的視像會議,如視像會議服務的穩定性不足,令會議時間都花在技術支援上,無疑是得不償失。此外,又會有不少員工選擇到餐廳、咖啡店甚或其他地方工作,能否利用手機或其他流動裝置完成視像會議,也是值得考慮的一環。如 Cisco 的 Webex視像會議工具就以安全穩定見稱,相對要求較低頻寬就可達致高清畫質,行動版更支援…

    數據加密與高速資訊儲存,從來就像水溝油,沒有並存空間。 科技界這一大困局,最近就由 Multisoft 聯同 Thales 及 PureStorage 攜手打破。數據加密與儲存系統的兩大科技界龍頭,合作推出簡稱 CTE的解決方案,CipherTrust Transparent Encryption – Efficient Storage,首創在點對點加密的環境下,仍可維持高壓縮比率,令用家同時做到防止數據洩漏及節省 Storage 成本。 CTE 背後的原理是甚麼?實際環境下可為企業節省多少成本?操作上是否很複雜? 想知道更多有關 CTE…

    礙於營運成本,中小企業難以投入大量資金聘請安全專家、購置安全工具。有調查報告顯示小企業 CISO 明言無法阻擋入侵,而人手短缺更令安全工具無法被妥善運用。矛盾難解決?答案就是將網絡安全工作外判,或交由託管公司代管 (MSP),便可借助對方的安全專家及先進的安全工具,守護公司。 早前生產力局轄下香港電腦保安事故協調中心(HKCERT)公布2020年網絡保安事故統計數字,指出上年處理了 8,346 宗安全事故,雖然數字上較 2019 年下跌 12%,但由於只是經 HKCERT 處理的個案,未有尋求協助的個案相信還有很多。而 HKCERT 方面亦呼籲企業盡快為新常態和新技術制定網絡保安策略,以應對因新冠疫情而加速的數碼轉型,以及 5G 通訊、物聯網和人工智能技術的廣泛應用。 作為守護公司大門的網絡安全團隊,自然不可能鬆懈,因為網絡攻擊招數層出不窮,加上黑客已不會只針對大企業或金融業發動攻擊,各行各業的中小企亦成為目標,對資源有限、人手緊絀的小團隊來說,難免每日生活在惶恐中。 新公布的一份調查報告《2021 Survery of…

    到底網絡安全專才有多渴市?先跟大家分享一些數據。根據去年網絡安全機構 ISC2發表的一份調查報告顯示,65%企業或機構缺乏網絡安全專才。報告同時估計,大約需要 407 萬個網絡安全專才,才可以滿足全球企業或機構的需求,但實際上現時只得 280 萬個,反映專才嚴重不足。另一份 IT 行業薪酬調查報告亦顯示,香港的網絡安全專才收入相對較同行高外,亦預期每年可有 30% 增幅,相當有「錢」途。 無盡警報拖垮網絡安全 由此可見,企業或機構管理者正身陷極大窘境,既難以聘請足夠的專才處理網絡安全問題,另一方面亦擔心員工被挖角,導致網絡安全系統無人管理。事實上,企業高薪聘請網絡安全專才,原本是為了制定更完善的安全政策、定期審核安全架構的合規性等高層次工作,偏偏卻被繁瑣的日常工作所誤,例如一大堆由網絡安全系統發出的警報要處理,需要評估有否誤報、事件嚴重性、調查網絡攻擊手法、影響範圍、選擇處理問題的系統、上報處理建議並等待審批⋯⋯特別是現時不少企業採用混合雲架構,每天從公司內部、網絡、雲端應用匯集的數據極為龐大,警報數量同時大增,不單霸佔網絡安全專才大部分工作時間,令他們無暇進行更重要的工作,有報告更估計,50%安全威脅更會因此而遭忽視,令企業被攻擊的風險大增。 處理事件因人而異 面對著複雜的企業架構及龐大的數據流量,傳統的防毒軟件,或安全資訊及事件管理系統(Security Information and Event Management, SIEM)已不足以解決問題,因為 SIEM…

    做咗資安界咁耐,問親中小企老闆,普遍都仲係以為自己間公司咁細規模,啲黑客唔會有興趣,但係事實上好多調查及統計報告都話你知絕對係謬誤嚟,好似最新由 Verizon Data 公布嘅調查顯示,43% 嘅黑客攻撃係針對中小企,證明咗黑客搞唔搞你,並唔關公司大定細,而且調查仲話黑客就係睇準中小企疏於防範嘅心理,自然捨難取易。 好喇,中小企老闆呢個時候又會講,我哋真係中小企嚟㗎咋,邊似得大企業咁多資源,可以買咁多軟硬件同埋請人嚟對抗班黑客呢?咁又未必要咁大陣仗嘅,以最近 Barracuda 公布嘅 2019 資安調查報告為例,59% 有毒檔案嚟自文件檔,而中小企每日又要處理無數文件檔,好易中招,所以今次就教大家五招,有效防止喺收到文件時中毒。 有理冇理先解毒 好多公司以為裝咗防毒軟件,就乜都擋到,實情而家啲毒愈整愈複雜,甚至會因應被發現嘅病毒定義而不停變體,唔係咁易搵到佢哋出嚟。最佳方法係用 disarming malware 呢個方法,佢會當所有檔案都係毒,一收到任何檔案就會將佢解體,抽絲剝繭睇吓入面有冇唔屬於呢類型檔案嘅可疑物體,有就立即移走,而且確保移走咗都唔會影響文件原本結構,咁就令你永遠只收到乾淨嘅檔案啦! 網絡電郵靠唔住 據統計,而家全球一日收成 2930 億封電郵,預計到…

    AI 技術已經發展成熟,亦不再是財雄勢大的企業專利。利用 AI 技術,中小企可以提升工作效率,更可以改善業務、提升服務質素,進而增加營業額。坊間已有不少 AI 方案,懂得善用,絕對可以殺出一條血路。今次同大家分享 3 招 AI 基本功,讓你輕鬆搖身一變成為 AI 企業。 第一招:將數據轉化成行動 無論中小企乃至大企業,其中一個命脈必定是 CRM(Customer Relationship Management,客戶關係管理),即是湊客。CRM 透過積累和分析客戶過往的紀錄,增進企業與客戶的關係,將銷售收益最大化及留住客戶,更可以找出潛在客戶以及預測市場及客戶需求。CRM 收集客戶資料的渠道包括公司網站、電話、郵件、線上聊天、市場行銷活動、銷售人員及社交網路等。 過往的…