最近有多間本地旅行社遭黑客勒索,反映網絡安全問題仍然嚴峻。香港生產力促進局亦預測,以榨取金錢為目標的網絡攻擊,如勒索軟件、DDoS、入侵提款機等,會在今年持續上升。他們亦指,不法分子透過供應鏈攻擊企業的情況可能會在今年開始變得普及。
榨取金錢為目標的網絡攻擊料持續上升
香港生產力促進局(生產力局)今日(18/1)發表 2018 年五大網絡保安趨勢,指以榨取金錢為目標的網絡攻擊會持續上升,當中包括加密軟件勒索、系統入侵勒索、DDoS 勒索以及提款機入侵、電郵詐騙等。香港電腦保安事故協調中心高級顧問梁兆昌亦補充,不少不法分子出租網絡犯罪服務,使進行網絡犯罪的門檻變低,令情況惡化。
除此之外生產力局預測,物聯網攻擊的數量將會上升,將來 DDoS 的威力會更大;而流動付款程式或會成為攻擊對象,企業應採用 SSL 保障連線安全。
歐盟新例將影響本港企業
梁兆昌又提醒,由今年五月起,一般數據保護條例(GDPR)會於歐盟實施,所有與歐盟公民或機構有來往的機構在處理個人資料時會受到更嚴厲的規管,香港企業將同樣受影響。
他又指出,不法分子透過供應鏈進行攻擊會是今年首次出現的新趨勢。梁兆昌解釋,去年 7 月勒索軟件 NotPetya 透過正當會計軟件於烏克蘭散播,以及 CClearner 8 月被植入後門,都反映不法分子可從軟件的更新機制入手來發動廣泛的攻擊;合法的網站亦可能有同樣問題,例如勒索軟件 Bad Rabbit 便透過網站傳播。
生產力局總經理(資訊科技)黃家偉建議,企業宜加強內部的程序控制,如設定合適的訪問權限、加緊資金轉移的控制等,並時刻更新系統以修補漏洞,以及定時備分,保留離線副本。員工方面,企業宜定期進行安全教育,以及採用雙重認證,以堷塞人為漏洞。
生產力局 2018 年五大保安趨勢預測:
- 以榨取金錢為目的的網絡攻擊持續上升
- 物聯網攻擊上升
- 流動付款程式或成為攻擊對像
- 更多有關網絡安全和私隱的規管
- 供應鏈攻擊繞過企業的防禦
