私隱專員公署及香港生產力促進局今日(21日)公布本年度的企業網絡保安準備指數,以最高100點計算,錄得52.8點,較去年上升5.8點,重回接近2022年水平,但仍處於「具基本措施」,仍有很大進步空間。中小企及大型企業則分別上升4.8點及10.6點,後者更升至有紀錄以來最高。
網絡釣魚簡訊較去年普遍
機構今年9至10月透過電話訪問442間企業,發現69%企業過去一年受至少一類網絡安全攻擊,雖然較去年下降4個百分點,但仍高於2022年水平。其中98%企業曾在今年遇到釣魚攻擊仍是最常見類型,按年上升2%,部分攻擊有運用AI深度偽造技術。除常見的釣魚攻擊外,調查亦發現網絡釣魚簡訊較去年普遍。
員工網絡安全意識有待加強
調查亦發現,只有35%企業有為員工進行網絡安全意識培訓,以及24%有進行演習以加強員工的網絡安全意識,反映企業仍需加強。行業指數方面,金融服務業繼續維持在「具管理能力」級別。零售和旅遊相關行業及專業服務業的指數雖有升幅,但仍然是所有行業中最低,分別為45.3點及46.0點,低於50點水平線。
生產力局數碼轉型部總經理陳仲文表示,今年「香港企業網絡保安準備指數」雖然錄得回升,但仍只屬基本水平。指數改善主要是由於較多企業於今年有進行網絡安全風險評估,以及有邀請第三 方機構評核 IT 系統。另外,員工網絡保安意識仍有待加強建設企業應從多方面強化員工的網絡安全意識,並定期進行釣魚測試及網絡安全演習。中小企考慮提升網絡安全級別時,亦要顧及其風險承擔的程度,需要面對的風險越高,應達到的網絡安全水平就越高。
近七成企業認為AI有私隱風險
在使用AI及所採取的安全風險措施方面,69%企業認為營運中使用AI有私隱風險,而大型企業比中小企更著重數據安全防護,佔所有採用數據安全措施的79%。較多企業採用的是「存取控制」及數據保護措施。不過,較少企業會使用專門針對機器學習攻擊的保護措施或留意與AI相關的安全警報。
另外,75%有使用AI的企業皆表示使用時不會向第三方提供數據,顯示企業的謹慎態度。就企業遇到個人資料外洩事故的應變計劃方面,61%表示有應變計劃,但只有16%包含應對AI相關的事故。調查亦發現,在營運中使用AI的企業中,有82%大型企業現時有或計劃為員工提供AI培訓,而有74%已制定或計劃制定關於AI安全風險政策,但中小企分別只佔一半左右,顯示大型企業更積極。
不論企業規模 均有責任保障個人資料私隱
個人資料私隱專員鍾麗玲表示,今年「香港企業網絡保安準備指數」較去年上升5.8點,當中大型企業的指數更升至有紀錄以來最高。而人工智能安全是國家安全的重點領域之一,隨著AI日漸普及,私隱風險及數據安全不容忽視,不論企業規模大小,均有責任採用數據安全防護措施保障個人資料私隱。
【香港企業網絡保安準備指數及 AI 安全風險調查 2024」調查報告】
原文刊登於 AM730
睇完新聞,記得追蹤am730以下平台,接收最新、最啱你嘅消息!
Facebook:am730 (https://www.facebook.com/am730hk)
Instagram:am730hk (https://www.instagram.com/am730hk/)
YouTube:am730 (https://www.youtube.com/c/am730video)