数码世界瞬息万变,人工智能(AI)等新兴科技急速发展并且日渐普及,提升网络安全实属当务之急。追踪香港企业在应对网络安全威胁方面的准备,对了解网络安全的主要风险及准确指出需要改善的范畴至关重要。就此,香港个人资料私隐专员公署(私隐专员公署)委讬了香港生产力促进局进行「香港企业网络保安准备指数及AI安全风险调查2024」(调查),以评估企业在应对网络安全及AI安全威胁的准备程度。
调查概述
今年的调查于9月至10月进行,并访问了各行各业合共442间企业的管理层或资讯科技人员,从「流程控制」、「技术控制」 、「保安政策及风险评估」,以及「员工网络保安意识」四个方面评估企业的保安措施的全面性。今年的准备指数由去年的47.0上升至52.8(最高为100),上升 5.8 点,当中大型企业的指数更升至有纪录以来最高(73.1点)。
指数的升幅主要是由于企业在「保安政策及风险评估」及「员工网络保安意识」两方面有显着改善。具体而言,相比去年,有多13%的企业会在新项目启动时及系统有重大改动时进行保安风险评估,而会定期针对关键资讯科技系统进行风险评估的企业则增加了9%。惟调查亦发现,只有三分之一(35%)的受访企业有为员工进行网络安全意识培训,以及只有四分之一(24%)有进行演习以加强员工的网络安全意识;显示企业仍需于这两方面加强培训及演习。事实上,企业必须积极采取行动,确保网络安全。高级管理人员应致力将网络安全纳入企业的策略愿景中,并鼓励员工优先执行相关政策。
随着不少企业将其日常运作转移至网上进行,不论是人为错误或固有的技术缺陷,都可能成为骇客可利用的潜在漏洞,让他们有机可乘。调查显示,近七成(69%)的受访企业在过去12个月曾遇到至少一类网络攻击,按年减少4%。虽然钓鱼攻击仍是最常见的网络攻击类型(98%),但利用二维码或AI进行的钓鱼攻击亦开始出现。随着科技进步,未来所见的钓鱼攻击可能会有更精密的设计,攻击规模亦会更庞大。
与其他类型的企业无异,各个级别的律师行员工每天都会浏览互联网并处理大量电子邮件。为免成为钓鱼攻击的受害者,主管律师应为员工提供定期培训,并采用稳妥的数据安全防护措施。毕竟,应对网络安全风险是大家需要共同承担的责任。今年较早时,由香港警务处及香港互联网注册管理有限公司合办并获私隐专员公署支持推出的「钓鱼电邮演习2024」,便旨在提高员工防范可疑电邮的意识。我在此鼓励各位同业未来积极参与类似的活动。
AI安全与私隐风险
至于有关AI安全意识的调查结果,大部分受访企业(69%)认为于营运中使用AI会带来显着的私隐风险。21%曾于营运中使用AI的受访企业中,接近三分之二(65%)表示它们已采用至少一种数据安全防护措施,例如存取控制或数据保护措施,而61%表示它们已制定针对个人资料外洩事故的应变计划。现时,AI的应用日益广泛,企业应采用足够的数据安全防护措施,并确保AI的使用方式符合法例的要求。
就此,我建议企业参考私隐专员公署早前发布的《人工智能(AI):个人资料保障模范框架》(《模范框架》)。《模范框架》在一般业务流程的基础上,提供国际认可及切实可行的建议和最佳行事常规,以协助企业在采购、实施及使用AI系统,包括生成式AI时,遵从《个人资料(私隐)条例》的相关规定。
「数据安全」套餐
为协助企业加强保障网络安全的能力,私隐专员公署已推出「数据安全」套餐。参加「数据安全」套餐的企业在完成「数据安全快测」自行评估其数据安全措施是否足够后,可享有免费名额参加由公署举办的研习班及讲座。公署亦设立「数据安全热线」(2110 1155),并推出专题网页,让企业可一站式取得各种有关数据安全的资讯。
加强网络安全需要持之以恒,犹如一场马拉松比赛。数码时代的风险层出不穷,我们不应安于现状,在遭受网络攻击时才亡羊补牢;而是必须时刻保持警惕,保护我们所持有的资料。
完整调查报告请参阅:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/surveys/files/AISecuritySurvey2024.pdf