香港生产力促进局(生产力局)及香港个人资料私隐专员公署(私隐专员公署)今日共同公布「香港企业网络保安准备指数及 AI 安全风险」调查报告结果,「香港企业网络保安准备指数」录得 52.8 点(最高 100 点),较去年上升 5.8 点,重回接近 2022 年水平,但仍然维持于「具基本措施」级别 1,可见企业仍然有很大的进步空间。中小企(48.4 点)及大型企业(73.1 点)的指数均录得升幅,分别上升 4.8 点及 10.6 点,大型企业的指数更升至有纪录以来最高。 生产力局数码转型部总经理陈仲文指出,本年度「香港企业网络保安准备指数」虽 然录得回升,但仍只属基本水平。 香港企业网络保安准备指数 「香港企业网络保安准备指数」由「保安政策及风险评估」、「技术控制」、「流程控制」和「员工网络保安意识」四个范畴组成。于本年度,「流程控制」(70.9 点)微升 2.8 点,继续于所有分项指数居首,属「具管理能力」级别;该分项指数亦有上升趋势,由 2018 年的 57.3 点,升至本年的 70.9 点。同样地,「技术控制」(57.3 点)亦较去年微升 2.2 点,并由2018 年的 36.9 点,即「措施不一致」级别,上升至 57.3 点,即「具基本措施」级别。「保安政策及风险评估」(52.1 点)于今年大幅回升 12.4 点,重回「具基本措施」级别。另外,「员工网络保安意识」于今年上升 5.7 点至 30.9 点,惟该范畴自 2018 年仍然属「措施不一致」级别。调查发现,只有三分之一(35%)的受访企业有为员工进行网络安全意识培训,以及只有四分之一(24%)有进行演习以加强员工的网络安全意识;显示企业需于这两方面加强。 行业指数方面,金融服务业(68.3 点)继续维持在「具管理能力」级别。不过,零售和旅游相关行业(45.3 点,+12.0 点)及专业服务业(46.0 点,+2.5 点)的指数虽有升幅,但仍然是所有行业中最低,且低于 50 点水平线。 调查显示,近七成(69%)的受访企业在过去 12 个月内曾遇到至少一类网络安全攻击,较去年稍微下跌四个百分点,但仍高于 2022 年的水平(65%)。数字的下降主要是由于受网络安全攻击的中小企百分比有所减少,较去年稍跌四个百分点。尽管如此,仍然有超过七成(71%)大型企业受网络安全攻击,与去年数字相若。其中,钓鱼攻击依然是最常见的网络安全攻击类型,98%的企业曾在今年遇过这类攻击,数字按年上升两个百分点。除网络钓鱼电子邮件(79%)及假冒其他机构的网络广告(42%)等常见的钓鱼攻击外,调查亦发现网络钓鱼简讯(38%,+4 百分点)较去年更为普遍。 生产力局数码转型部总经理陈仲文表示:「本年指数虽然录得回升,但仍只属基本水平。指数改善主要是由于较多企业于今年有进行网络安全风险评估,以及有邀请第三方机构评核 IT 系统。另外,『员工网络保安意识』仍有待加强,员工缺乏意识有可能成为企业网络安全其中一个最大的漏洞,企业应从多方面强化员工的网络安全意识,包括每年为所有员工进行网络安全意识培训,以更新员工对最新网络安全的知识;培训内容亦需针对人员进行角色为基础培训。企业亦需要定期进行钓鱼测试及网络安全演习,以监测及处理表现较弱的范畴。中小企于考虑提升网络安全级别时亦要顾及其风险承担的程度,需要面对的风险越高,他们应该达到的网络安全水平就越高。另一方面,近七成的受访企业在过去 12 个月曾遇到至少一类网络安全攻击,当中超过九成表示受到网络钓鱼攻击,与去年数字相若。香港网络安全事故协调中心(HKCERT)的事故报告统计资料显示,今年 1 月至 10 月期间,HKCERT 处理的保安事故总数已达 10,020 宗,已超越 2023 年的事故总数,创下历史新高;HKCERT 亦接获 35,379 个钓鱼网站的报告,较 2023 年同比增加了 127%,钓鱼攻击的事故报告已占所有网络安全事故的 62.22%2。除了提高员工的网络安全意识外,企业可参考 HKCERT 推出的『中小企保安事故应变指南』,制定企业网络安全事故应变计划及定期进行安全审计,识别并修补可能存在的安全漏洞。」 人工智能(AI)安全与私隐风险调查 今年专题调查探讨受访企业在使用 AI 方面的情况及所采取的安全风险措施。调查结果发现,近七成企业(69%)认为在营运中使用 AI 会带来显著的私隐风险。整体来说,约五分之一的 企业(21%)现时有于营运中使用 AI,而大型企业的使用率则较高,超过四成(43%)。 于营运中使用 AI 的企业中,约三分之二(65%)有采用至少一项数据安全防护措施,而大型企业的占比更接近八成(79%),显示大型企业比中小企更着重数据安全防护,以确保公司使用 AI 工具的数据安全。较多企业采用的数据安全防护措施是「存取控制」(41%)及数据保护措施(例如加密数据、将个人资料匿名化)(39%)。不过,较少企业会使用专门针对机器学习攻击的保护措施(14%)或留意与 AI 相关的安全警报(13%)。 另外,四分之三(75%)在营运中使用 AI 的企业皆表示使用 AI 时不会向第三方提供数据,当中,会向第三方提供数据的企业大部分只提供一些公开的数据(14%)及匿名化和聚合数据(8%),显示企业在处理数据方面持谨慎态度。就企业遇到个人资料外泄事故的应变计划方面,虽然有超过六成(61%)于营运中有使用 AI 的企业有制定针对资料外泄事故的应变计划,但只有少于两成(16%)包含应对 AI 相关的事故。 调查亦发现,大型企业较中小企更积极提供 AI 相关的培训及制定关于 AI 安全风险的政策。在营运中使用 AI 的企业中,有超过八成(82%)大型企业现时有或计划为员工提供有关 AI 的培训,而有超过七成(74%)大型企业已制定或计划制定关于 AI 安全风险的政策,但中小企分别只占一半左右(52%及 45%)。另一方面,只有少于两成(17%)的受访中小企表示计划在未来 12 个月内增加使用 AI 技术以加强数据和网络安全;然而,超过四成大型企业(46%)有相关计划。 个人资料私隐专员钟丽玲表示:「私隐专员公署一直积极推动保障数据安全的工作,今年的『香港企业网络保安准备指数』较去年上升 5.8 点,当中大型企业的指数更升至有纪录以来最高。而人工智能安全是国家安全的重点领域之一,随着 AI 应用日渐普及,AI 的私隐风险及数据安全不容忽视,企业不论规模大小,均有责任于善用 AI 之余,采用数据安全防护措施保障个人资料私隐。私隐专员公署鼓励企业参考公署出版的《人工智能(AI):个人资料保障模范框架》,以确保企业采购、实施及使用 AI 时,遵从《个人资料(私隐)条例》的相关规定,加强保障数据安全。」 个人资料私隐专员钟丽玲介绍人工智能(AI)安全与私隐风险调查的结果。 调查由私隐专员公署委托生产力局独立进行,旨在评估香港企业在应对网络保安威胁及 AI 安全风险方面是否准备就绪,以及公众对私隐相关议题的意见。最新的调查在 2024 年 9 月至10 月透过电话访问 442 间企业,涵盖六个行业 3。 请按此 下载「香港企业网络保安准备指数及 AI 安全风险调查 2024」调查报告。 生产力局与私隐专员公署共同推出「中小企数据安全培训系列」 为协助中小企加强保障数据安全,生产力局及私隐专员公署将于 2025 年联合推出数据安全培训系列,主题包括:(i)近年资料外泄个案分享;(ii)资料保安措施建议;及(iii)如何预防及处理资料外泄事故。 私隐专员公署推出「数据安全」套餐 为协助学校、非牟利机构及中小企加强保障数据安全、网络安全,私隐专员公署已推出「数据安全」套餐,参加「数据安全」套餐的机构可免费进行「数据安全快测」,评估其数据安全措施是否足够,并在完成「快测」后享有五个免费名额参加由公署举办的研习班及讲座。此外,公署亦已推出「数据安全」专题网页及「数据安全」热线 2110 1155,提供相关资讯及协助。有意参加的学校、非牟利机构及中小企可电邮至 training@pcpd.org.hk 查询。 生产力局推出「网络钓鱼防御服务」 生产力局持续加强对中小企的多元化服务及支援,提升中小企业网络安全意识及防范能力。为进一步加强员工网络安全意识,并协助他们了解网络钓鱼攻击的不同形式及技巧,生产力局推出「网络钓鱼防御服务」。服务除了包括为企业设计网络钓鱼题材/场景,及进行网络钓鱼演练外,亦会就演习结果进行分析并提供建议及培训。服务模拟最新钓鱼攻击进行演练,让企业更清楚了解钓鱼攻击的最新发展及攻击技巧。 生产力局数码转型部总经理陈仲文(右)及个人资料私隐专员钟丽玲(左)共同公布「香港企业网络保安准备指数及 AI 安全风险」调查报告结果。 浏览生产力局 「网络钓鱼防御服务」的服务详情: 网络钓鱼防御服务 | 生产力局 1 指数级别分为五级,排名由高至低依次为「具前瞻能力」(80-100)、「具管理能力」(60-79)、「具基本措施」(40-59)、「措施不一致」(20-39)及「缺乏意识」(0-19) 2 资料来源:HKCERT 3 调查所涵盖的六个行业包括「零售和旅游相关」、「制造、贸易和物流」、「非牟利机构、学校和其他」、「金融服务」、「专业服务」及「资讯和通讯技术」 |