香港生產力局轄下香港電腦保安事故協調中心總結2022年香港資訊保安狀況,指出各行業的數碼化進程加快,但利用新技術發動的網絡攻擊有增無減,為免讓不法份子有機可乘,呼籲企業及市民應持續提高資訊保安意識,加強防範各種網絡攻擊,以免蒙受損失。
中心表示,去年共處理8393宗保安事故,較2021年上升9%,是4年來首次錄得升幅。當中最主要事故為殭屍網絡(4858宗),較2021年上升40%;而第二主要事故為網絡釣魚(2946宗),雖然較2021年下跌21%,但所涉及的網址URL(15736條)則上升4%,當中逾六成與電子商貿、網上銀行及加密貨幣有關。
中心發言人陳仲文表示,「過去一年全球經濟活動及商務往來逐漸回復正常,但企業及個人用戶對互聯網和新興科技的依賴卻有增無減,網絡攻擊的方式、數量及複雜程度亦隨之增加。」
2023年五大資訊保安風險
是次報告更提出了2023年必須留意的五大資訊保安風險,包括釣魚攻撃盜用身份或憑證、利用人工智能攻擊、網絡犯罪服務低廉化、加密貨幣及元宇宙,以及物聯網廣泛應用產生更多攻擊機會。
釣魚攻撃盜用身份或憑證:中心在2022年處理的保安事故當中,釣魚攻擊一直名列前茅。其中憑證釣魚(Credential Phishing)更是黑客慣常盜用身份的第一步,以騙取用戶的個人敏感資料。另外,黑客亦開始使用新攻擊手法嘗試繞過多重認證(MFA)保安措施。
利用人工智能(AI)的攻擊:對比傳統系統,AI系統具有更深層次、更廣泛的潛在網絡保安風險。例如多個服務使用同一AI模型,當模型受到攻擊篡改,所有使用該模型的服務皆會受到波及。另外,黑客亦會利用AI編寫惡意程式或製作偽造訊息,如影像和聲音,用以散播謠言或勒索。
網絡犯罪服務(Crime-as-a-service)低廉化將吸引更多不法分子使用:隨着網絡犯罪商業模式改變,網絡攻擊已發展成服務形式,大幅減低發動攻擊的門檻。網絡犯罪服務十分廉價,例如低至少於1美元便能購買1000個被盜取的帳戶。
Web 3.0:其核心概念是「去中心化」,最為人熟悉的應用就是加密貨幣及元宇宙。HKCERT在2022年處理的釣魚連結當中,涉及加密貨幣的佔12%。香港金融管理局將虛擬貨幣交易所納入規管範圍,並規定虛擬資產服務提供者必須在2023年6月1日獲取許可牌照,可見Web 3.0 的保安風險不容忽視。
IoT廣泛應用產生更多攻擊機會:數碼化帶動「工業4.0」發展,以智能製造幫助企業提升經營效率。「工業4.0」更是推動香港新型工業化的其中一個重要元素,它將IT及運營技術(OT)的系統融合,並往往會應用不同的IoT裝置,將IT及OT系統連接至互聯網,增加了網絡的出入口或網絡介面,帶來新的資訊保安風險及威脅。
生物特徵也有可能被盜用
陳仲文先生呼籲社會各界不能掉以輕心,他說:「大家要小心保護個人資訊,今時今日的個人資訊除生日日期,身份證號碼外,亦包括生物特徵,如指紋、聲線等,亦須提防被不法分子利用;亦要注意搜尋引擎提供的最佳結果和網站域名的英文串法,以防範惡意及釣魚網站。」
他也指出,大眾須要了解AI、區塊鏈、加密貨幣、元宇宙等新技術所帶來的保安威脅,並制定相關的保安策略及應對措施。企業亦要在聯繫工業設備及IoT設備前做好充分保安準備,例如參考國際保安標準,建立一個安全架構及更新企業內部保安政策及營運守則,以減低網路連接後帶來的風險。此外,要定期評估網絡和系統的保安,持續監察所有聯繫互聯網的設備配置。」
羅夏樸博士:開發者應系統化加強產品安全
香港理工大學電子計算學系副教授羅夏樸博士分享IoT及Web 3.0最新保安風險趨勢。他表示:「如果連接互聯網的設備沒有更改預設密碼或更新過時的軟件,黑客便有機可乘,利用這些弱點進行攻擊。同時,物聯網設備公司應採用全面的方法來加強物聯網系統的安全,包括保護物聯網設備及其固件和人工智能算法、應用程式和伺服器、網絡協定和連接,以及推行零信任安全架構。」
「同時,大家要警惕Web 3.0的保安風險,因為區塊鏈/智能合約可能存在未知/已知的安全漏洞,現在各區塊鏈平台上有許多欺詐和惡意智能合約以及從不同維度進行的攻擊。區塊鏈/智能合約開發者應採用系統化的方法來加強其產品的安全,包括詳盡的代碼審計、算法和程序邏輯的安全評估、代碼強化、實時監控分析和在線防禦、惡意智能合約/前端應用程式的檢測等。」
