本地企業廣泛應用科技處理數據,一旦受到網絡攻擊,會加劇受黑客入侵和惡意軟件攻擊的風險,有機會造成重大的金錢損失及聲譽損害。商業軟件聯盟 (BSA)和香港大學社會科學研究中心(HKUSSRC)近日發表關於勒索軟件攻擊及雲端就緒調查結果,揭示香港企業遭受勒索軟件攻擊的情況、企業如何進行數據備份以及對雲端應用的意識水平。
WannaCry 事件加強安全意識 惟仍用傳統方法備份
該調查訪問了本地公司及企業,尤其是中小型企業的資訊科技專業人士。調查分基線調查及跟進調查兩階段進行,前者在 WannaCry 大型勒索軟件攻擊事件之前進行,並成功訪問 255 家受訪企業;跟進調查則在 WannaCry 事件之後進行,並再次訪問基線調查中的 101 家受訪企業。
調查結果指出,約兩成香港企業一個月少於一次或從來沒有進行定期數據備份。雖然部分公司於 WannaCry 事件之後更頻繁地執行備份,不少公司仍然採用傳統方案備份數據,未有採用安全而有效的雲端方案備份。鑑於這些調查結果,BSA 呼籲香港企業應更積極考慮應用雲端技術進行數據備份以及提升未來的整體網絡保安方案。
商業軟件聯盟亞太區市場合規高級總監 Tarun Sawney 表示,調查顯示香港企業缺乏對雲端技術如何提升整體網絡保安方案的認識。結果同時揭示本地企業的意識水平與為防止潛在網絡攻擊而進行的實際行動出現明顯差距。希望藉是次調查呼籲本地企業積極考慮採取行動,通過適當利用雲端來加強數據保護工作。
調查主要結果包括:
- 基線調查中的 10.9% 的受訪企業曾遭受勒索軟件攻擊:而於跟進調查當中,101家公司中有4家(3.6%)企業於過去三個月內曾遭受勒索軟件攻擊。
- 超過一半的受訪企業表示擔心其數據會在勒索軟件攻擊時處於風險:基線調查中 56.5% 的受訪企業表示非常擔心或擔心其數據處於風險中(跟進調查:51.9%)。
- 數據備份扮演著非常重要的角色:大部分受訪企業認為進行數據備份對於其企業非常重要或重要(基線調查:87.9%;跟進調查:93.4%)。
- 在跟進調查中,受訪企業進行數據備份的頻率顯著增加:每週超過3次(基線調查:33.5%;跟進調查:41.4%)。
- 受訪人士具有公共雲端數據備份服務意識及其公司是否有採用雲端數據備份服務:大部分受訪人士具公共雲端的數據備份服務的意識(基線調查:85.2%;跟進調查: 93.4%)。
- 受訪企業使用公共雲端服務進行數據備份的最主要原因是方便及易於共享存取數據,也是愈來愈多企業的一貫做法。
- 受訪企業不使用公共雲端服務進行數據備份的最主要原因是基於安全性問題的考慮。
選擇雲端備份服務需審慎考慮
香港大學社會科學學院副院長(知識交流)暨社會科學研究中心總監及教授白景崇(Professor John Bacon-Shone)表示,具有數據備份的意識非常重要,但採取切實可行的步驟,可能包括利用公共雲端服務執行公司範圍以外的安全備份卻是另一回事。而本地條例亦一直確保個人資料受到安全保護,免受未經授權或意外的查閱、處理、刪除、喪失或使用所影響。
他續稱,新的歐盟數據保護法《一般數據保護規則》(General Data Protection Regulation)亦將於 2018 年 5 月在歐盟生效,包括對不遵守規例的企業作出更嚴厲制裁(最高罰款額將高達企業全球營業額的 4% 或 2,000 萬歐元,以較高者為準)及面對風險時需要負上更大的責任。因此,企業必需採取公司範圍以外的安全備份保安方案,可能包括使用公共雲端,並需審慎選擇可靠的雲端服務供應商提供數據備份服務。
Tarun Sawney 補充,企業在選擇可靠的雲端服務供應商時,應考慮供應商對四個重要準則的承諾—私隱保護、安全性、合規性和透明度。例如在選擇雲端服務供應商時,企業可以參考國際標準,如 ISO 27018、 ISO 27017、 ISO 27001 及其他本地標準,並審視供應商是否符合這些標準。由於網絡攻擊猖獗及商業用戶難以時刻自行更新保安防備方案防禦攻擊,相信雲端服務能夠為商業用戶帶來高成本效益而可行的方案。