在2020年代,相信任何一間公司都一定程度上需要資訊科技,由日常的電郵通訊、視像會議,以至網上推廣及數據系統,尤其近半年的COVID-19疫情,不少公司都安排員工在家工作,假如資訊科技出現保安問題,後果將非常嚴重。2020年已過大半,BizMagnet科技券顧問歸納了以下5個2021年最要小心的資訊保安威脅,所謂「一子錯,滿盤皆落索」,不想辛苦建立的工作甚至業務毀於一旦,就要留意這些網絡資訊安全威脅,亦應考慮申請科技券計劃升級公司資訊安全系統。
釣魚攻擊 Phishing
釣魚攻擊是指以電子通訊方式假裝成為可信的人或機構(可能是銀行、政府部門或慈善組織等),騙取受害人的敏感資料,例如密碼、信用卡資料等。最常見的包括偽冒電郵、WhatsApp訊息、假網站等,目的都是獲取敏感資料再作非法用途。除了提高警覺,核實對方身份外,一些較先進的電郵系統都會加入人工智能去辨別偽冒電郵;而今日網站一般都有加密憑證(SSL),如你進入BizMagnet網站,就會見到網址列最前端有一個上銷的鎖頭,代表網站已獲得憑證。然而,防範Phishing,最重要的仍是記著不要隨便透露或輸入敏感資料,公司每位員工都應該明白這點。
勒索軟件 Ransomware
近年勒索軟件最常見的攻擊方法,是針對電腦系統保安漏洞,將重要文件、資訊,甚至整個系統銷上,之後罪犯便要求受害公司交付贖金(Ransom),否則無法取回重要文件或使用系統,公司可能無法運作,或者失去累積多時的重要資訊。為勉執法人員追查,罪犯往往要求受害人以加密貨幣(Cryptocurrency)交付贖金,令調查十分困難。由於Ransomware攻擊的多是系統漏洞,定期更新軟件,或設定為自動更新都是基本動作;定期備份(Backup)或使用備份軟件亦是十分重要,萬一不幸被銷,都能馬上回復運作。另外都要加強系統保安,例如安裝防火牆(Firewall)、防毒軟件(Anti-virus)等等。
雲端騎劫 Cloud hijacking
隨著雲端運算系統普及,駭客攻擊目標亦由以往的個人電腦或小型網絡,漸漸針對雲端系統。主流的雲端系統,例如Amazon Web Services (AWS)、Google Cloud Platform (GCP)等都具有世界級保安,但問題往往出在使用者身上,如不小心處理密碼,或者公司沒有清楚的授權政策,員工可能惡意或無意行使不當操作,都會讓駭客有機可乘。雲端是豐富的運算資源,駭客可操控資源進行自利行為,例如加密貨幣挖礦(Cryptocurrency mining),表面上公司好像沒有損失,其實所有雲端運算最終都由公司埋單,服務亦會受到影響。
物聯網 Internet of Things
隨著5G(第5代流動通訊技術)投入服務,物聯網 (Internet of Things, IoT)應用是下一個重要的工業4.0議題。物聯網容許不同的物件或裝置(例如電器、生產設備、監察工具等)連結,將會完全改變生產、物流及商業運作,因此IoT亦是駭客窺視的目標。相對電腦保安,IoT的情況大為複雜,涉及無線網絡、雲端系統及物理環境,所以很多IoT設備供應商都會與資訊保安專家合作;作為IoT用家,公司亦應聘請資訊保安公司定期檢查IoT系統保安,並制定穩妥的保安政策。
密碼 Password
一個老問題仍是問題,很多人要求科技保安達到國際水平,卻往往忽略了最根本的問題:人。即使系統的加密程度有多高,如果因為貪方便,設定太過簡單的密碼,或者在所有系統都使用同一個密碼,甚至將密碼寫在紙上等,保安都會尤如虛設。情況就好像一個堅固的夾萬,但鎖匙卻放在夾萬前,結果等於完全沒有保護。其實有很多措施都能有效保護密碼及系統,例如強制密碼長度及複雜性、使用密碼管理系統(Password vault, password manager etc)、多重驗證 (Multi-factor authentication),以至VPN或地理限制登入等,都是有效的結構性方法。
2019、2020都是充滿挑戰性的時間,老闆們也許掙扎求存,也許逆市擴充,資訊及網絡保安,看似是不太重要的開支,但正如保險,出事後才會後悔沒有為風險作好準備。忽略資訊保安的代價不菲,不過好消息是,現在香港企業可使用科技券資助升級公司的IT security,BizMagnet科技券顧問總是認為,生意就是風險管理,你又準備好未? 如欲申請TVP,歡迎聯絡BizMagnet政府資助顧問。