資料外洩事故呈上升趨勢　「狩網運動」2個月發逾2千個攻擊預警

私隱專員公署表示，去年共接獲157宗涉及資料外洩事故，較前年上升五成，而今年首8個月已收到140宗通報，相當於去年全年的九成，反映資料外洩事故仍處於上升趨勢，呼籲企業及機構要採取足夠的保安措施。

由警務處網絡安全及科技罪案調查科、網絡安全公司及私隱專員公署，合辦的第二屆「狩網運動」，在今年六月至八月，一連兩月免費為153間本地企業、非牟利團體及公營機構等，包括醫管局及港鐵公司，發掘並幫助修正網絡安全漏洞，以及提升對網絡威脅的意識。平台在兩個月內發出逾2000個攻擊預警，找出逾90個漏洞。

「AI密探」及專家助發掘網絡安全漏洞　八成屬高危
網絡安全公司Cyberbay行政總裁及聯合創辦人簡培欽指，今年新增的「AI密探」能為參與企業或機構識別針對他們的攻擊。「AI密探」會持續掃描暗網、網絡安全資源，若發現參與企業數據已被第三方掌握，而能構成針對性的有效攻擊，就會向企業發出攻擊預警。

平台在設計「狩網運動」活動時，參考了私隱專員公署過往針對受網絡攻擊機構發出的報告內容，例如機構沒有啟用多重認證功能導致個人資料外洩，平台針對報告提到的缺失來為企業檢查並提供建議。

平台在兩個月內發出逾2000個攻擊預警，代表第三方或已掌握企業系統的佈局及弱點、用戶資訊、管理員帳戶及密碼等，一旦遭到攻擊會導致大規模數據外洩。
在發出預警後，會由網絡安全專家為企業或機構作深入檢測，最後找出逾90個漏洞並提供整改方案，簡培欽表示，逾90個漏洞中有八成屬高危，這些漏洞十分隱蔽，無法透過正常手段如掃瞄器或自動化工具找出，需憑專家的經驗作判斷。他又說，平常企業至少要花256日找出漏洞並解決問題，而參與該活動的企業或機構只需少於60日就能將高危問題完全解決。

參與機構按專家建議　提升網絡至最嚴謹水平
有參與活動的教育科技企業代表指，公司主要服務有特殊教育需求的人士，建立的「特殊資優中央資料庫系統」儲存了用戶的敏感資料，包括支援服務的紀錄及藥物紀錄等，希望透過參與活動進一步加強網絡安全。

亦有非牟利團體表示，在提供地區康健中心的服務時，收集了市民的敏感資料，團體參與活動後，根據專家建議，將釣魚郵件的封鎖設定提升至最嚴謹的水平，相信有助減低用戶接觸釣魚郵件的機率。
平台吸引逾80網絡安全專才　活動後以收費模式續運作
今屆「狩網運動」參與企業由去年的60間增至153間，參與的網絡安全專家就有逾80人，比去年多三成，主要來自本地，需通過網罪科的認證才能參與。

簡培欽指，平台實行獎金制，企業可免費參與一連兩月的「狩網運動」，專家所獲的獎金由平台支付，但平台於活動完結後仍會運作，並會提供收費計劃。企業可按自身預算向專家付費，每個高危或嚴重漏洞的費用平均是3000元至2萬元；企業亦可選擇向平台支付固定年費約8萬元。