黑客無處不在 網上保安要小心

網絡黑客肆虐，中小企缺乏網絡保安意識之餘，亦由於資源有限，難以聘請專人處理資訊保安事宜。香港貿易發展局中小企服務中心早前舉辦「網上保安與資料保護實務」講座，由香港電腦保安事故協調中心顧問胡日昇與中小企分享常見的黑客問題，以及解決方案。

香港電腦保安事故協調中心顧問胡日昇提醒中小企，網絡黑客肆虐，要為選用具加密功能的便攜裝置，同時亦要為檔案備份。

胡日昇引述科技業界周刊NetworkWorld於2013年發表的研究指出，黑客可以入侵導航系統(GPS)，轉移並改變汽車甚至遊艇的航導；也可以進入Smart TV，透過鏡頭看到用戶的一舉一動；又或透過掌握用戶的節目喜好，從而推介相關的廣告。

他表示，網絡罪犯多半為錢，受僱攻擊僱主的競争對手並損害其商譽，又或是轉售企業的絕密資料；也有離職員工惡意入侵企業電郵或網站，以至機密資料外泄。

採具加密裝置 定網上保安政策

胡日昇提到，中小企容許員工使用便攜裝置收發公司電郵及下載檔案，這種BYOD (Bring Your Own Device)的好處，固然是企業可以減省經營成本，和可以提高員工生產力；但亦有調查指出，有使用這種裝置的企業會產生不同的擔憂，其中35%擔心手提裝置容易引至資料外泄，27%擔心會喪失機密數據，亦有18%憂慮員工誤用設備。

他續指，常見的網絡罪案手法有二：其一是透過釣魚網站（即假網站）套取機密資料，又或者待用戶進入網站後，藉着惡意程式把企業電腦變為殭屍電腦，然後利用該電腦透過其通訊錄於互聯網散播病毒，並估計全港最少有約8,000部殭屍電腦；其次是透過釣魚電郵，引誘用家下載惡意軟件或登入個別網站，繼而以病毒感染該電腦，從而套取機密資料。

4.7萬個假網站 有懷疑要核實

他引述APWG（Anti-Phishing Working Group）研究指出，全球有約47,000個假網站，其中偽裝成付款服務的網站佔56.3%，金融機構佔21.7%，零售服務佔4.74%。

由於釣魚網站幾可亂真，胡日昇建議中小企首先要為機密文件加密，並定期為企業電郵更改密碼，而當收到可疑電郵時，應與業務伙伴溝通核實；另須經常更新企業常用的軟件，亦不建議選用盜版軟件，因為在確認軟件時，容易受惡意程式攻擊。

他提醒中小企，要為選用具加密功能的便攜裝置，並為裝置加密，因為過往亦有個案是員工不小心遺失便攜裝置，以至機密資料外泄，而部分便攜裝置設立密碼後，如10次按錯密碼便會自毀，令資料受到保障；但當然同時亦要為檔案備份。

由於資源有限，中小企一般難以聘請專人處理資訊保安事宜，對預防網上黑客亦欠缺方法，故香港貿發局中小企服務中心早前舉辦的「網上保安與資料保護實務」講座，吸引了不少有意了解常見黑客問題及解決方案的人士出席。

定期更改密碼 更新常用軟件

胡日昇表示，企業有責任定出政策及指引，提高員工使用便攜裝置的保安意識，並為他們提供相關的培訓及教育；例如提醒員工不在公司範圍，使用存有公司機密資料的便攜裝置時，通訊網絡要加密並建立防火牆，亦應避免用戶外免費wifi及開啓藍芽，因為容易成為黑客攻擊的對象。另方面，員工離職，企業要把其登入名稱刪除，亦要確保該員工把企業機密資料刪除。

他亦建議，企業要定期更新瀏覽器，盡量不要讓電腦或便攜裝置記下登入名稱及密碼，並在離開時刪除搜尋歷史。另外，使用者亦要交替使用不同的瀏覽器，以避免當其中一個瀏覽器出現問題時，構成影響。

胡日昇還提供了數個免費網站，讓企業提高網上保安，包括：

• 掃描檔案及核實網站
• 檢查網站商譽
• 檢查Java

相關網頁：

• 貿發局中小企服務中心

延伸閱讀：

• 網上防盜五部曲
• 網上罪案急升　設立小組防黑客