香港生產力促進局(生產力局)及香港個人資料私隱專員公署(私隱專員公署)今日共同公布「香港企業網絡保安準備指數及 AI 安全風險」調查報告結果,「香港企業網絡保安準備指數」錄得 52.8 點(最高 100 點),較去年上升 5.8 點,重回接近 2022 年水平,但仍然維持於「具基本措施」級別 1,可見企業仍然有很大的進步空間。中小企(48.4 點)及大型企業(73.1 點)的指數均錄得升幅,分別上升 4.8 點及 10.6 點,大型企業的指數更升至有紀錄以來最高。 生產力局數碼轉型部總經理陳仲文指出,本年度「香港企業網絡保安準備指數」雖 然錄得回升,但仍只屬基本水平。 香港企業網絡保安準備指數 「香港企業網絡保安準備指數」由「保安政策及風險評估」、「技術控制」、「流程控制」和「員工網絡保安意識」四個範疇組成。於本年度,「流程控制」(70.9 點)微升 2.8 點,繼續於所有分項指數居首,屬「具管理能力」級別;該分項指數亦有上升趨勢,由 2018 年的 57.3 點,升至本年的 70.9 點。同樣地,「技術控制」(57.3 點)亦較去年微升 2.2 點,並由2018 年的 36.9 點,即「措施不一致」級別,上升至 57.3 點,即「具基本措施」級別。「保安政策及風險評估」(52.1 點)於今年大幅回升 12.4 點,重回「具基本措施」級別。另外,「員工網絡保安意識」於今年上升 5.7 點至 30.9 點,惟該範疇自 2018 年仍然屬「措施不一致」級別。調查發現,只有三分之一(35%)的受訪企業有為員工進行網絡安全意識培訓,以及只有四分之一(24%)有進行演習以加強員工的網絡安全意識;顯示企業需於這兩方面加強。 行業指數方面,金融服務業(68.3 點)繼續維持在「具管理能力」級別。不過,零售和旅遊相關行業(45.3 點,+12.0 點)及專業服務業(46.0 點,+2.5 點)的指數雖有升幅,但仍然是所有行業中最低,且低於 50 點水平線。 調查顯示,近七成(69%)的受訪企業在過去 12 個月內曾遇到至少一類網絡安全攻擊,較去年稍微下跌四個百分點,但仍高於 2022 年的水平(65%)。數字的下降主要是由於受網絡安全攻擊的中小企百分比有所減少,較去年稍跌四個百分點。儘管如此,仍然有超過七成(71%)大型企業受網絡安全攻擊,與去年數字相若。其中,釣魚攻擊依然是最常見的網絡安全攻擊類型,98%的企業曾在今年遇過這類攻擊,數字按年上升兩個百分點。除網絡釣魚電子郵件(79%)及假冒其他機構的網絡廣告(42%)等常見的釣魚攻擊外,調查亦發現網絡釣魚簡訊(38%,+4 百分點)較去年更為普遍。 生產力局數碼轉型部總經理陳仲文表示:「本年指數雖然錄得回升,但仍只屬基本水平。指數改善主要是由於較多企業於今年有進行網絡安全風險評估,以及有邀請第三方機構評核 IT 系統。另外,『員工網絡保安意識』仍有待加強,員工缺乏意識有可能成為企業網絡安全其中一個最大的漏洞,企業應從多方面強化員工的網絡安全意識,包括每年為所有員工進行網絡安全意識培訓,以更新員工對最新網絡安全的知識;培訓內容亦需針對人員進行角色為基礎培訓。企業亦需要定期進行釣魚測試及網絡安全演習,以監測及處理表現較弱的範疇。中小企於考慮提升網絡安全級別時亦要顧及其風險承擔的程度,需要面對的風險越高,他們應該達到的網絡安全水平就越高。另一方面,近七成的受訪企業在過去 12 個月曾遇到至少一類網絡安全攻擊,當中超過九成表示受到網絡釣魚攻擊,與去年數字相若。香港網絡安全事故協調中心(HKCERT)的事故報告統計資料顯示,今年 1 月至 10 月期間,HKCERT 處理的保安事故總數已達 10,020 宗,已超越 2023 年的事故總數,創下歷史新高;HKCERT 亦接獲 35,379 個釣魚網站的報告,較 2023 年同比增加了 127%,釣魚攻擊的事故報告已佔所有網絡安全事故的 62.22%2。除了提高員工的網絡安全意識外,企業可參考 HKCERT 推出的『中小企保安事故應變指南』,制定企業網絡安全事故應變計劃及定期進行安全審計,識別並修補可能存在的安全漏洞。」 人工智能(AI)安全與私隱風險調查 今年專題調查探討受訪企業在使用 AI 方面的情況及所採取的安全風險措施。調查結果發現,近七成企業(69%)認為在營運中使用 AI 會帶來顯著的私隱風險。整體來說,約五分之一的 企業(21%)現時有於營運中使用 AI,而大型企業的使用率則較高,超過四成(43%)。 於營運中使用 AI 的企業中,約三分之二(65%)有採用至少一項數據安全防護措施,而大型企業的佔比更接近八成(79%),顯示大型企業比中小企更著重數據安全防護,以確保公司使用 AI 工具的數據安全。較多企業採用的數據安全防護措施是「存取控制」(41%)及數據保護措施(例如加密數據、將個人資料匿名化)(39%)。不過,較少企業會使用專門針對機器學習攻擊的保護措施(14%)或留意與 AI 相關的安全警報(13%)。 另外,四分之三(75%)在營運中使用 AI 的企業皆表示使用 AI 時不會向第三方提供數據,當中,會向第三方提供數據的企業大部分只提供一些公開的數據(14%)及匿名化和聚合數據(8%),顯示企業在處理數據方面持謹慎態度。就企業遇到個人資料外洩事故的應變計劃方面,雖然有超過六成(61%)於營運中有使用 AI 的企業有制定針對資料外洩事故的應變計劃,但只有少於兩成(16%)包含應對 AI 相關的事故。 調查亦發現,大型企業較中小企更積極提供 AI 相關的培訓及制定關於 AI 安全風險的政策。在營運中使用 AI 的企業中,有超過八成(82%)大型企業現時有或計劃為員工提供有關 AI 的培訓,而有超過七成(74%)大型企業已制定或計劃制定關於 AI 安全風險的政策,但中小企分別只佔一半左右(52%及 45%)。另一方面,只有少於兩成(17%)的受訪中小企表示計劃在未來 12 個月內增加使用 AI 技術以加強數據和網絡安全;然而,超過四成大型企業(46%)有相關計劃。 個人資料私隱專員鍾麗玲表示:「私隱專員公署一直積極推動保障數據安全的工作,今年的『香港企業網絡保安準備指數』較去年上升 5.8 點,當中大型企業的指數更升至有紀錄以來最高。而人工智能安全是國家安全的重點領域之一,隨著 AI 應用日漸普及,AI 的私隱風險及數據安全不容忽視,企業不論規模大小,均有責任於善用 AI 之餘,採用數據安全防護措施保障個人資料私隱。私隱專員公署鼓勵企業參考公署出版的《人工智能(AI):個人資料保障模範框架》,以確保企業採購、實施及使用 AI 時,遵從《個人資料(私隱)條例》的相關規定,加強保障數據安全。」 個人資料私隱專員鍾麗玲介紹人工智能(AI)安全與私隱風險調查的結果。 調查由私隱專員公署委託生產力局獨立進行,旨在評估香港企業在應對網絡保安威脅及 AI 安全風險方面是否準備就緒,以及公眾對私隱相關議題的意見。最新的調查在 2024 年 9 月至10 月透過電話訪問 442 間企業,涵蓋六個行業 3。 請按此 下載「香港企業網絡保安準備指數及 AI 安全風險調查 2024」調查報告。 生產力局與私隱專員公署共同推出「中小企數據安全培訓系列」 為協助中小企加強保障數據安全,生產力局及私隱專員公署將於 2025 年聯合推出數據安全培訓系列,主題包括:(i)近年資料外洩個案分享;(ii)資料保安措施建議;及(iii)如何預防及處理資料外洩事故。 私隱專員公署推出「數據安全」套餐 為協助學校、非牟利機構及中小企加強保障數據安全、網絡安全,私隱專員公署已推出「數據安全」套餐,參加「數據安全」套餐的機構可免費進行「數據安全快測」,評估其數據安全措施是否足夠,並在完成「快測」後享有五個免費名額參加由公署舉辦的研習班及講座。此外,公署亦已推出「數據安全」專題網頁及「數據安全」熱線 2110 1155,提供相關資訊及協助。有意參加的學校、非牟利機構及中小企可電郵至 training@pcpd.org.hk 查詢。 生產力局推出「網絡釣魚防禦服務」 生產力局持續加強對中小企的多元化服務及支援,提升中小企業網絡安全意識及防範能力。為進一步加強員工網絡安全意識,並協助他們了解網絡釣魚攻擊的不同形式及技巧,生產力局推出「網絡釣魚防禦服務」。服務除了包括為企業設計網絡釣魚題材/場景,及進行網絡釣魚演練外,亦會就演習結果進行分析並提供建議及培訓。服務模擬最新釣魚攻擊進行演練,讓企業更清楚了解釣魚攻擊的最新發展及攻擊技巧。 生產力局數碼轉型部總經理陳仲文(右)及個人資料私隱專員鍾麗玲(左)共同公布「香港企業網絡保安準備指數及 AI 安全風險」調查報告結果。 瀏覽生產力局 「網絡釣魚防禦服務」的服務詳情: 網絡釣魚防禦服務 | 生產力局 1 指數級別分為五級,排名由高至低依次為「具前瞻能力」(80-100)、「具管理能力」(60-79)、「具基本措施」(40-59)、「措施不一致」(20-39)及「缺乏意識」(0-19) 2 資料來源:HKCERT 3 調查所涵蓋的六個行業包括「零售和旅遊相關」、「製造、貿易和物流」、「非牟利機構、學校和其他」、「金融服務」、「專業服務」及「資訊和通訊技術」 |