隨着科技飛速發展,人工智能、物聯網、大數據等一系列新技術正進一步顛覆全球商業格局,但同時網絡安全的挑戰亦日益嚴峻。
香港網絡安全及科技罪案調查科高級警司羅越榮在互聯網經濟峰會上表示,近年來傳統罪案不斷下降,而與網絡相關的罪案卻明顯上升,「主要涉及網上購物、社交平台交友、盜取WhatsApp賬戶等。」
普華永道最新發布的全球信息安全狀況調查表明:內地與香港的企業在網絡安全方面的平均投入比全球數值高出近四分之一(23.5%),即每家企業平均預算達630萬美元。72%的中國內地與香港受訪企業對物聯網安全戰略已有積極回應,這一數值高於全球水平(67%)。
去年7838宗 涉款逾27億元
以香港為例,過去十餘年,科技罪案發生的數目及導致損失的經濟損失均大幅上升。羅越榮表示,2007年科技罪案的數字僅為634宗,涉及金額為1060萬港元;然而,去年相關罪案已飆升至7838宗,相關金額高達27.71億港元。
同時,羅越榮指出,過去的網絡罪行主要針對個人及中小企業,以病毒攻擊的形式為主,但現時網絡攻擊的對象則為政府機關及大型企業,攻擊形式轉變為惡意軟件、分散式拒絕服務(DDoS)攻擊、黑客入侵等。
相比傳統罪行,很多科技罪案屬於跨境罪案,當中有涉及整個犯案過程均在香港境外發生,而只有受害人身處香港,或只是騙款經香港被匯走,令警方在調查、搜證,以至執法及司法權限方面都遇到較大困難;
香港互聯網註冊管理有限公司行政總裁黃家偉表示:「網絡攻擊並非新鮮事物,但是過去網絡犯罪主要目的是為了竊取密碼,篡改網站等,但現時的攻擊則使用勒索軟件,導致數百萬名客戶資料洩漏,將這些資料在黑市進行出售。過去12個月,我們留意到針對DNS服務器的攻擊有明顯上升的趨勢,改變IP地址,將消費者誘導至虛假的網上銀行、購物網站等,罪犯竊取用戶賬戶資料並進行交易。」
香港金管局數據顯示,去年針對銀行的假冒電郵、欺詐網站和可疑流動應用程序個案達142宗,較2017年的44宗激增了2.2倍。
據悉,去年香港雖未發現針對銀行的網絡攻擊,但三家大型零售銀行表示,2018年嘗試攻擊的數量同比激增50%至1倍不等。為此,今年金管局會要求58家銀行進行模擬網絡攻防戰,以評估各銀行的網絡風險和承受能力。
3C原則
近年來,互聯網安全問題愈演愈烈,引起了世界各國的關注和重視。2015年底《美國網絡安全法》獲得美國國會通過,《中國網絡安全法》則於2017年6月起生效。
德國萊茵TÜV集團掌握風險與合規性實踐領導Stefan Eigler認為,企業管理層需要認識到網絡安全投資的重要性,「我們為客戶提供產品及服務的認證服務,比如很多亞洲企業以歐洲為目標市場,他們除了向歐洲客戶銷售產品以外,還附帶雲等生態系統服務,因此需要確保符合《歐盟通用數據保護條例》(GDPR)。」
今年1月,因違反GDPR,法國監管機構向Google開出了5000萬歐元的罰單,後者由此成為該條例2018年5月生效以來首個遭受處罰的美國科技巨頭。
「在頻繁發生一些客戶數據洩漏醜聞後,很多客戶傾向於自己保護自己的數據,但往往他們無法確認服務提供者是否遵守來相應的合規要求。同時,如區塊鏈等新科技提供了一些新的解決方案,但往往不具成本效應或者不符合實際應用,」北京大學軟體與微電子學院、網路軟體與系統安全系副系主任沈晴霓表示。
去年3月,Facebook首次曝出史上最大數據洩露事件,名為「劍橋分析」(Cambridge Analytica)的數據機構被爆擅自利用經由Facebook獲取5000萬用戶的個人資料,留檔以用於在2016總統大選期間定向宣傳。這一切都發生在未經用戶同意的情況下。
在英國註冊道德安全測試員理事會服務認證員Samantha Alexander看來,對於企業而言,應對網絡攻擊需要確認「3C」原則,即capability(能力)、capacity(容量)、collaboration(合作)。」
「公司的員工是否有能力確保企業的網絡安全?他們是否有適當水平的知識、技能、經驗實現網絡安全?對於很多中小企業而言,可能一個員工負責整個公司的日常IT系統維護以及網絡安全。同時,加強企業內部不同部門之間,以及企業與外部其他企業之間的合作,十分重要。」她說道。
然而,人手不足在香港中小企業的情況則更為嚴重。Dragon Advance Tech Consulting安全分析師Frankie Li透露,本地很多中小企業根本沒有聘請專門的IT員工,而是將相關工作外包給第三方公司,「這個公司的員工為了便於遠程管理,在公司的防火牆上開了一個port,利用遠程桌面協議(RDP),而因此成為外部網絡攻擊的漏洞。」
人才短缺是網絡安全領域的主要問題之一。新加坡電信公司香港常務董事高德泰指出,為此,新加坡政府與當地的大專院校合作,培養下一代的網絡安全人才。
