數位經濟(Digital Economy)冒起加上網絡犯罪產業化,令企業面對的資訊安全挑戰日益嚴峻。一方面企業比以前更難掌握日新月異的黑客攻擊技術,另一方面黑客也有更多途徑進行攻擊。亞洲地區缺乏資訊安全透明度,造成了相對嚴重的資安問題。有相關研究指出亞洲企業一般對比其他地區需要多1.7倍時間來發現資安漏洞。當數據受到攻擊時,大多數公司都只會透過內部資源控制情況。以香港為例,由於大部份公司在受到資訊攻擊時毋須向執法部門通報,因而削弱了執法能力,無助提升資訊安全信息交流。
同時,企業於資安上的投資大部分仍然以網絡為主。隨著服務電子化、雲端化,被動式保障網絡邊界並不足以應付現今的挑戰。透過數位科技,應用軟體(App)令顛覆式創新得以體現,儼然成為了數位經濟的「貨幣 」 。在 2017 年第一季度, Apple 和 Android 應用商店合計共有 500 多萬流動 App 。根據 F5 Labs 2017 年資訊安全研究報告,高達 53% 資安違規是以 App 為攻擊目標。因此企業必須重新審視傳統資安架構,並應優先處理 App(包括流動App及API等相關科技)所帶來的資安漏洞。
建立資訊安全文化
要迎接資安挑戰,企業要先從自身文化出發。資安不是單純科技問題,而是企業風險管理重要一環。商業電郵詐騙數字近年大幅增加,自 2015 年 1 月起已造成了近31億美元的損失。根據 Information Security Forum 的研究顯示,大多數資安漏洞都是由於僱員非惡意的疏忽所致。由此可見,企業不但需要評估資訊安全風險,按照不同風險程度建立有效防禦機制,同時應該建立清晰指引並培訓僱員。我也建議企業管理層多與員工討論相關指引,了解他們的意見,畢竟資訊安全有賴所有僱員參與,讓他們了解到保護數據的重要性及他們在資安策略中所扮演的角色,可養成並提升僱員資安意識。
國際及本港監管機構高度重視資安守則,例如今年五月歐盟將會實施《通用數據保障條例》(General Data Protection Regulation, GDPR)以加強保護歐盟公民個人資料,企業違規最高罰款二千萬歐元或其全球營業額4%(取其高者)。條例對為歐盟國家提供產品或服務的香港企業有相當影響。而香港金融管理局近年也推出了網絡防衛計劃,提高香港銀行的網絡安全水平。企業必須時刻留意與其業務有關的條例細則,將責任提升至管理層,以確保遵守法律並適當管理風險,與時並進。
培育資安專才
本港資安專才短缺已並非「新聞」。 根據 F5 Networks 2018 年「應用交付狀態報告」(State of Application Delivery 2018),缺乏資安技術對其企業未來十二個月而言是最大的資安挑戰之一。 Robert Half 於 2016 年的研究指出,香港有近 82% 資訊總監預期資安專才的短缺,將促使未來五年的網絡安全威脅變得更嚴重,甚至高出78%的全球平均值。隨著資訊安全正趨向數據分類及數據監管等範疇發展,並涉獵到App保安上,資安專才的技術要求正逐漸改變,企業需要對資安專才的持續培養倍加關注。
最近港府宣布會在創新及科技基金預留五億元落實 2018 《施政報告》中的科技專才培育計劃,希望部分基金會投放到培育資安專才,資助本地企業人員,接受資安培訓。
隨著數位轉型(Digital transformation)白熱化,香港企業需要不斷地創新求變, App 的蓬勃發展勢在必行。採用數位科技來擴展業務並提升創新能力固然重要,但同樣重要的是建立適當企業資訊安全文化,讓 App 變得更快捷、更安全、更有智慧。
