香港生產力促進局(生產力局)的一項調查表示,本港部分公司和機構對網絡的「特權存取」管理不足,當中四分一受訪機構無採取額外保安措施,令其關鍵的資訊科技系統易於暴露於黑客和內部攻擊的雙重威脅。
六成受訪機構未來一年將在 IT 保安投放資源
「特權存取」是指機構內部人員或第三方合作夥伴擁有的特許權力,能在該機構的資訊科技系統或網絡自由進出,及執行關鍵的資訊科技工作。
調查於去年 12 月進行,訪問金融和保險、物流和運輸、政府和公共機構、進出口、批發和零售等行業,受訪的 51 間機構包括上市公司,或僱員數目 300 人以上的非上市公司及機構。研究發現,81% 的受訪機構有採取審計和管理措施規範「特權存取」,主要是為增強網絡保安 (78%) 和遵循合規要求(63%)。然而,仍然有 18% 受訪機構遇到「特權存取」的相關保安問題,例如受到黑客攻擊或遭內部員工濫用。
此外,調查發現 31% 受訪機構把有「特權存取」權限的共享帳戶開放給內部人員或外界合作夥伴,當中有 25% 沒有採取額外的保安措施。調查亦發現,61% 的受訪機構計劃在未來 12 個月投放資源於資訊保安, 而有較多潛在保安風險的受訪機構較願意投資於先進的保安方案。
勒索軟件藉特權存取發動攻擊 生產力局長籲企業應加強管理
生產力局總經理(資訊科技及業務流程)黃家偉提醒各界,從針對海外政府、銀行、零售商和公用事業機構的大規模網絡攻擊的報告分析,取得「特權存取」往往是攻擊鏈上的關鍵一環,可構成強大的攻擊力及破壞力。他說:「黑客的加密勒索軟件亦會不惜一切嘗試獲得存取特權,發動攻擊。受害機構可能因此導致服務中斷、數據洩露、財務損失、聲譽受損,甚至要承擔有關法律責任。」
黃家偉表示,企業應該加強管理「特權存取」,特別是有提供「特權存取」共享帳戶的機構,及提供「特權存取」予資訊科技外判商或雲端服務供應商的機構。企業應該整合和集中管理用戶的身份和存取權限,同時要記錄、監察和審核特權存取的活動。企業還可以將有關管理措施結合資訊保安基建,例如入侵檢測和預防系統、數據洩漏防護和信息安全事項管理系統,提供更全面的保護。
