首頁 > 即時香港 >
即時新聞

中小企網絡保安差 九成公司僅聘一至兩名IT人

[2017-11-13 18:38]

縱橫遊電腦系統遭黑客入侵,當中牽涉大批客戶的信用卡資料,引爆本港企業的網絡保安問題。有中小企商會坦言,九成中小企僅聘請一至兩名IT人,卻要兼顧網絡保安、系統維護、更新網頁,甚至是平面設計等的工作,分身不暇,加上老闆對資訊科技一無所知,即使IT人轉移公司內部資料轉售圖利,隨時懵然不知。有資訊科技專家向《星島日報》表示,近年愈來愈多中小企轉用雲端伺服器儲存郵件,但當中近六成未有安裝新款防火牆,無法過濾「釣魚郵件」,員工容易「中招」,讓黑客為所欲為。

旅行社縱橫遊的客戶數據庫上周遭黑客入侵,二十萬名客戶的資料外泄,其中包括姓名、出生日期、身分證號碼、護照號碼及電話號碼等,其中一成客戶更涉及信用卡資料。警方其後雖然成功將系統解鎖,並表示暫無迹象顯示有客戶資料曾被轉售,惟過程足以令港人憂慮,管有大量客戶資料的企業,是否有採取相應的網絡保安。

香港中小企協會創會會長佘繼泉坦言,不少中小企老闆仍未了解IT對公司的重要性,「公司有一百個員工,只請一至兩個IT人,但他們要兼顧網絡保安、系統維護、更新網頁,甚至是平面設計,最後他們完全沒有處理網絡保安的時間。」他續說,同樣的情況亦出現在學校及教會,「學校的IT工作由老師兼任,教會隨時有過千會眾,但IT系統只是找人義務負責。」

轉用雲端 無裝新防火牆

企業為網絡安全所做的防護措施,遠遠追不上他們應用新科技的速度。網絡保安專家趨勢科技香港區顧問總監李浩然指出,愈來愈多中小企在近兩三年轉走雲端路綫,試圖減省開設和營運數據庫的成本,不過,其中六成因不懂得科技變化,未有安裝針對雲端平台的防火牆,造成嚴重網絡保安漏洞,「雲端會用加密技術將電郵傳送,傳統防火牆掃描不到問題。」

他指,近年黑客會通過上網連接阜,直接入侵電腦伺服器,「但企業要上網,就不能停止連接阜運作。」其中一個常見的「播毒」形式,是讓用家在郵件中按下超連結,以下載病毒。李浩然指,安裝阻隔有毒電郵的防火牆,每個用戶只要一百多元,以員工人數二十至五十人的中小企為例,總開支也不過五萬多元,但不少不明科技轉變的中小企也未有安裝,「目前很多雲端化的公司,收到的垃圾郵件大增。」

簡單如設立網站亦同樣危機四伏。香港電腦學會品牌及聯繫總監郭榮忠說,不少中小企會開設網站,宣傳自己的產品,但網站上可能有客戶的帳戶和密碼等,資料容易外泄。他稱,企業人手有限,對網絡知識不足,增加意外發生機會,如企業在開設網址時,「貪方便」無採用https加密設置,只以http註冊,便會留下更多「網絡痕迹」,讓黑客有機可乘。

防毒軟件須勤更新

此外,李浩然亦指出,不少中小企雖然有安裝防毒軟件,但疏於打理,「十個客人之中,有三至四個都在三至五年間沒更新。」Global Technology Integrator Ltd.資訊保安首席顧問鄺文迪更直言,即使網絡病毒「WannaCry」早已在國際間揚名,但本港不少中小企一直未有為網絡保安措施重新和定期做風險評估,提高設備和管理質素等,「香港很多企業都是頭痛醫頭,腳痛醫腳,但到問題爆發時,已經是一發不可收拾。」

除了來自黑客入侵,「內鬼」同樣不容忽視。網絡安全方案供應商SSH亞太區副總裁何思聰表示,商業機構的電腦入侵個案,三分之二均來自「內部威脅」,問題源於公司對網絡的「特權存取」管理不足,他解釋,公司部分員工或合作夥伴取得「特權存取」權力,在公司的資訊科技系統或網絡自由進出,並執行關鍵的資訊科技工作。然而,不少公司沒有任何措施監控「特權存取」用戶有否取走或改動內部程式,從而竊取資料。事實上,香港生產力促進局今年初公布的調查顯示,一成八的受訪機構曾遇到「特權存取」的相關保安問題,例如受到黑客攻擊或遭內部員工濫用等。

政府援助提供顧問服務

對於「內鬼」的問題,佘繼泉坦言,不少中小企老闆以為聘請一名IT人後,就可以一勞永逸,而作為全公司僅有熟悉網絡保安操作的IT人而言,盜取資料的誘惑很大,「整家公司根本沒有人識IT,幾千個客戶資料在他面前,就算將資料轉售也未必有人知道。」

他續說,坊間的網絡保安顧問公司索價高,中小企難以負擔,他期望有政府部門可援助中小企,提供基礎顧問服務,以減少被黑客入侵的風險。

有專家倡設個人資訊安全法

有保安專家指出,本港沒有個人資訊安全法,令企業缺乏改善網絡保安的逼切性。SSH亞太區副總裁何思聰表示,不少國家均有個人資訊安全法,企業如因疏忽引致客戶資料外泄,將會被檢控,「罰款未必很高,不過一旦罪成,受影響的客戶可以通過民事訴訟,要求企業為資料外泄而賠償其個人損失。」他續說,本港發生多次資料外泄事件,但鮮有公司受罰,令資料被盜的港人難以追究責任。

做法有爭議

不過,資訊科技界立法會議員莫乃光則認為,相關法例有一定爭議,「因為公司被黑客入侵,也可能是受害者之一,卻要被罰。」但他認同,在現有的《個人資料(私隱)條例》下,初犯者毋須負責的做法並不理想,「由外泄幾個人的資料,到幾百萬人的資料,只要是初犯,只要沒有下次就不會被追究。」

他續說,金管局早前要求銀行由明年起需要進行「網絡攻防模擬測試」,加強網上保安,他認為,政府應考慮將相關做法,伸延至包括電訊、金融、保險、醫療、旅遊等的受監管的行業,確保其管有的敏感資料不會輕易外泄。

都市網推薦新聞

熱點新聞