香港企業網絡安全防線正面臨考驗,解決方案或許比想像中更觸手可及。
Sophos 大中華區總經理 Malis Selamat 接受媒體專訪時表示:「若要給香港企業一個建議,就是在未來 90 天內找獨立專家進行全面安全評估。不要單靠內部審計,而是利用第三方團隊測試現有防禦、識別漏洞。」
為何是 90 天?因為數據顯示,香港企業已經沒有觀望本錢。
▲Sophos 大中華區總經理 Malis Selamat
三組數字揭示殘酷現實
Sophos 亞太區研究顯示,高達 78% 本地機構正經歷「網絡安全疲勞(Cybersecurity Burnout)」。另一項業界調查更令人警醒——香港僅有 1% 企業網絡安全水平達到「成熟」級別。然而採用 MDR(託管偵測及回應)服務的企業,保險索償個案大幅減少 97.5%。
差距如此懸殊,問題究竟出在哪裡?
Selamat 直言,最大風險往往不是技術漏洞,而是心態:「『這些事不會發生在我們身上』、『我們已經做得很好了』——當企業抱持這種想法,攻擊者便有機可乘。」
「買產品」時代已結束
香港企業習慣「買斷」思維——一次採購、長期使用。這種講求效率和自主的商業文化,過去或許行得通,但網絡威脅不等人。
Selamat 指出,隨著數碼化步伐加速,單靠購買產品已無法應付攻擊演變速度,企業必須轉向持續服務模式。MDR 正是這種轉變的體現:提供全天候保護,無需內部團隊
24 小時緊盯螢幕;由專業團隊負責追蹤攻擊與快速修復,將復原時間從 40 天大幅縮短至 3 天。
這不只是技術升級,更關乎人才戰略。她強調:「網絡安全應以人為本。透過 MDR 減輕內部團隊『長期戒備』壓力,有助企業留住人才,建立更健康內部文化。」
如何說服 CFO?講「錢」不講「技」
對許多資訊安全總監(CISO)而言,最大挑戰往往是如何讓董事會支持。畢竟非技術背景管理層未必聽得懂「偵測率」或「遙測數據」。
Selamat 建議很實在:善用財務語言。
她建議 CISO 應這樣向董事會陳述:「若遭遇勒索軟件攻擊,每停工一日將損失 X 元收入和生產力。有了 MDR 防護,故障停運時間從超過一個月縮短至幾天——這是直接保護公司資產和聲譽。」
索償減少 97.5%,意味著財務損失與保費雙雙下降;復原時間加速,則是大幅削減業務中斷成本。當這些數字攤在董事會面前,網絡安全便不再是單純「成本開支」,而是實實在在的「風險管理投資」。
與 Microsoft 競合策略:互補而非對立
Sophos 近期宣布向所有 Microsoft Copilot 用戶免費開放 Sophos Intelix,這決定乍看令人費解——Microsoft Defender 本身就是直接競爭對手,何必替對手「助攻」?
Selamat 解釋,這是互補而非對撞。Intelix 利用 Sophos 全球威脅情報網絡與多年實戰經驗,能提供獨特多層次偵測,正好補強 Microsoft Defender 功能。「這個合作模式既提升用戶整體安全水平,又展示開放合作重要性。」
更重要是避免單一依賴。Sophos 一向主張廠商中立(Vendor-agnostic),方案設計靈活,可無縫整合不同平台與第三方產品。企業毋需押注在單一生態系統,而是按自身需求建立具彈性防禦體系。
跨境合規:技術架構「兩全其美」
香港企業身處獨特位置,既要遵守內地《個人信息保護法》(PIPL),同時須符合 GDPR 等國際標準。有效 MDR 服務需要實時跨境威脅遙測,但嚴格數據主權要求似乎與此背道而馳。
Sophos 解決方案是從架構設計入手。其 MDR 平台支援數據駐留要求(Data Residency),客戶可自主決定數據儲存及處理地點。多地區數據中心配合細緻政策控制,確保敏感資料不會在未經授權下離開指定區域。
技術層面上,Sophos 採用匿名化、元數據驅動(Metadata-driven)遙測方式,能夠提供實時威脅偵測,同時不觸碰個人身分資料。Selamat 形容這是「兩全其美」——在合規與安全性之間毋需妥協。
成熟度低成「跨越式轉型」契機
僅 1% 企業達標,聽來悲觀,但 Selamat 選擇反向解讀。
她坦言,大部分香港企業網絡安全成熟度雖仍處於早期或中期階段,缺乏主動防禦所需整合流程。「但我們並不視此為障礙,反而是機遇。較低成熟度基準意味著,一旦採用 AI 驅動防禦和 MDR 服務,成效提升會更顯著。」
換言之,香港企業可以跳過傳統方法漫長演進,直接進入現代化、以成效為本的安全模式。這對合作夥伴同樣是契機——成為客戶信賴顧問,引導他們從被動防守轉為主動出擊。
總結:90 天轉變從「正視」開始
回到開篇建議,Selamat 強調,獨立安全評估意義不只在技術層面。
「透過客觀評估,管理層能依據風險排序、精準分配資源填補缺口。同時向持份者、員工、客戶和監管機構表明——網絡安全是董事會級別優先事項。」
在當今環境中,主動出擊是建立真正抵禦能力唯一方法。威脅雖然真實存在,但解決方案同樣觸手可及——關鍵只在於,企業願不願意正視風險?
