數碼世界瞬息萬變,人工智能(AI)等新興科技急速發展並且日漸普及,提升網絡安全實屬當務之急。追蹤香港企業在應對網絡安全威脅方面的準備,對了解網絡安全的主要風險及準確指出需要改善的範疇至關重要。就此,香港個人資料私隱專員公署(私隱專員公署)委託了香港生產力促進局進行「香港企業網絡保安準備指數及AI安全風險調查2024」(調查),以評估企業在應對網絡安全及AI安全威脅的準備程度。
調查概述
今年的調查於9月至10月進行,並訪問了各行各業合共442間企業的管理層或資訊科技人員,從「流程控制」、「技術控制」 、「保安政策及風險評估」,以及「員工網絡保安意識」四個方面評估企業的保安措施的全面性。今年的準備指數由去年的47.0上升至52.8(最高為100),上升 5.8 點,當中大型企業的指數更升至有紀錄以來最高(73.1點)。
指數的升幅主要是由於企業在「保安政策及風險評估」及「員工網絡保安意識」兩方面有顯著改善。具體而言,相比去年,有多13%的企業會在新項目啟動時及系統有重大改動時進行保安風險評估,而會定期針對關鍵資訊科技系統進行風險評估的企業則增加了9%。惟調查亦發現,只有三分之一(35%)的受訪企業有為員工進行網絡安全意識培訓,以及只有四分之一(24%)有進行演習以加強員工的網絡安全意識;顯示企業仍需於這兩方面加強培訓及演習。事實上,企業必須積極採取行動,確保網絡安全。高級管理人員應致力將網絡安全納入企業的策略願景中,並鼓勵員工優先執行相關政策。
隨着不少企業將其日常運作轉移至網上進行,不論是人為錯誤或固有的技術缺陷,都可能成為駭客可利用的潛在漏洞,讓他們有機可乘。調查顯示,近七成(69%)的受訪企業在過去12個月曾遇到至少一類網絡攻擊,按年減少4%。雖然釣魚攻擊仍是最常見的網絡攻擊類型(98%),但利用二維碼或AI進行的釣魚攻擊亦開始出現。隨着科技進步,未來所見的釣魚攻擊可能會有更精密的設計,攻擊規模亦會更龐大。
與其他類型的企業無異,各個級別的律師行員工每天都會瀏覽互聯網並處理大量電子郵件。為免成為釣魚攻擊的受害者,主管律師應為員工提供定期培訓,並採用穩妥的數據安全防護措施。畢竟,應對網絡安全風險是大家需要共同承擔的責任。今年較早時,由香港警務處及香港互聯網註冊管理有限公司合辦並獲私隱專員公署支持推出的「釣魚電郵演習2024」,便旨在提高員工防範可疑電郵的意識。我在此鼓勵各位同業未來積極參與類似的活動。
AI安全與私隱風險
至於有關AI安全意識的調查結果,大部分受訪企業(69%)認為於營運中使用AI會帶來顯著的私隱風險。21%曾於營運中使用AI的受訪企業中,接近三分之二(65%)表示它們已採用至少一種數據安全防護措施,例如存取控制或數據保護措施,而61%表示它們已制定針對個人資料外洩事故的應變計劃。現時,AI的應用日益廣泛,企業應採用足夠的數據安全防護措施,並確保AI的使用方式符合法例的要求。
就此,我建議企業參考私隱專員公署早前發布的《人工智能(AI):個人資料保障模範框架》(《模範框架》)。《模範框架》在一般業務流程的基礎上,提供國際認可及切實可行的建議和最佳行事常規,以協助企業在採購、實施及使用AI系統,包括生成式AI時,遵從《個人資料(私隱)條例》的相關規定。
「數據安全」套餐
為協助企業加強保障網絡安全的能力,私隱專員公署已推出「數據安全」套餐。參加「數據安全」套餐的企業在完成「數據安全快測」自行評估其數據安全措施是否足夠後,可享有免費名額參加由公署舉辦的研習班及講座。公署亦設立「數據安全熱線」(2110 1155),並推出專題網頁,讓企業可一站式取得各種有關數據安全的資訊。
加強網絡安全需要持之以恆,猶如一場馬拉松比賽。數碼時代的風險層出不窮,我們不應安於現狀,在遭受網絡攻擊時才亡羊補牢;而是必須時刻保持警惕,保護我們所持有的資料。
完整調查報告請參閱:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/surveys/files/AISecuritySurvey2024.pdf