FI專欄｜人性成為資產風險的漏洞｜崔添偉

在數碼經濟迅速發展的今天，企業風險管理的焦點正發生深刻轉變。過去，防火牆、加密演算法與入侵監測系統是企業抗衡網絡威脅的三大支柱，但越來越多的安全事故證明，真正危險的漏洞往往不是技術層面的錯誤，而是人性本身。社會工程學（Social Engineering）這種結合心理操控與資訊技術的滲透方式，已由邊緣攻擊手段，演變為對金融秩序與國家安全具實質破壞力的核心威脅。

2024年初，一宗由人工智能深偽（deepfake）技術引發的重大詐騙案震驚全球。涉事機構為國際知名工程顧問公司Arup，而事件的發生地點，正是香港的辦公室。據報導，該公司一名財務部職員收到一封電郵，內容聲稱來自英國總部的財務總監，要求其協助處理一項「極機密的交易」。這類情境在企業內部並不罕見，但職員仍有所懷疑。幾日後，一場視像會議召開，畫面中出現多位他熟悉的同事面孔，包括發出指令的CFO，言談舉止亦無可疑之處。然而，會議中的每一個參與者，實際上都是由人工智能生成的假人，無論聲音、樣貌、語調，均透過先進的 AI演算法合成。受害職員最終在對方引導下進行了十五筆資金轉帳，合共二億港元，全部匯入本地多個銀行帳戶。Arup事後確認事件屬實，此案亦被視為全球規模最大、技術最成熟的AI偽冒詐騙個案之一。

這宗案件標誌著社會工程攻擊已不再局限於電郵釣魚、語音詐騙或假冒來電，而是進入了全新階段：透過AI工具模擬「信任關係」，將虛構指令包裝成視覺與聽覺都幾可亂真的假象，直接操控具簽署權與財務權限的人員，令原本嚴謹的財務制度形同虛設。對於企業而言，這樣的攻擊方式不僅高度隱蔽，且極難防範。更重要的是，這類攻擊一旦發生，往往牽連甚廣，涉及內部調查、聲譽風險、法律責任，甚至可能成為市場對公司治理信心崩潰的導火線。

從國家層面而言，社會工程學不單是資訊安全議題，更是當代認知戰的一部分。近年世界各地出現的資訊干預、社交媒體操控與心理戰行動，已歸類為「第五代戰爭」（Fifth Generation Warfare）的關鍵元素，而社會工程手段正是滲透企業與公共機構的實際工具。一名被騙的中層主管、一場被操縱的虛假會議、一則經內部群組轉發的虛假訊息，均可能為攻擊者創造缺口，影響資金流向、決策延誤、投資信心，甚至觸及金融穩定與基建安全。

香港作為中西交匯的國際金融中心，在此類風險中處於尤為敏感的位置。一方面，本地企業與政府機構高度依賴跨境通訊與即時協作，驗證機制往往無法覆蓋所有緊急指令；另一方面，香港的企業文化傾向效率與信任，高層與中層之間的授權鏈相對扁平，令社會工程攻擊更容易「得手」。此外，不少中小企缺乏滲透測試與模擬演練經驗，資訊安全訓練流於形式，前線員工難以識破複雜的詐騙手法。根據香港電腦保安事故協調中心（HKCERT）2023年報告，本地企業面對的資訊安全事故中，釣魚與假冒電郵仍佔主導地位，惟AI偽冒的攻擊模式自2024年起出現顯著上升趨勢。

要有效防禦這類人性導向的滲透風險，企業不能再單靠資安技術升級，而必須從制度設計與文化塑造入手。首先，管理層須建立「零信任」驗證文化，即便是來自高層的指令，也需經雙重核實與多方確認。其次，企業應主動引入紅隊演練（Red Teaming）制度，定期透過內部模擬攻擊測試人員警覺性與應變能力。再者，在「環境、社會和公司治理」（ESG）日益受到重視下，企業的資訊安全與內部控制亦應納入ESG報告中作為披露項目，藉以向市場證明自身的風險抵禦能力與社會責任承擔。此外，特區政府亦可考慮制訂更具前瞻性的企業國安風險管理指引，鼓勵企業從國家安全角度審視資訊及人力流程中的潛在滲透點，尤其是涉及資金、供應鏈與數據權限的環節。

當今企業面對的最大風險，未必是看得見的網絡攻擊或駭客，而是無聲無息的「說服」。信任，曾是企業營運的基石，但若無制度與警覺力支撐，信任亦可被武器化。社會工程的攻擊方式證明，單憑技術無法守住一道防線，惟有提升整體組織文化、員工警覺、管理制度，企業方能真正應對這場結合人性與演算法的無形戰爭。資訊安全已不再只是技術部門的事，更是關乎治理、風控、聲譽與國家穩定的核心議題。

Subscribe FORTUNE INSIGHT Telegram:
http://bit.ly/2M63TRO

Subscribe FORTUNE INSIGHT YouTube channel:
http://bit.ly/2FgJTen