HKIRC与香港警务处携手合办《钓鱼电邮演习2023》
逾万雇员参与创新高 提升业界网络安全意识
香港2023年8月2日 /美通社/ -- 香港互联网注册管理有限公司(HKIRC)联同香港警务处网络安全及科技罪案调查科合作举办的「钓鱼电邮演习2023」已经完满结束。日前于警察总部警政大楼举行发布会,分享演习的成果。是次演习是首次由HKIRC及警方携手合办,参与的机构数量和员工人数都得以提高,计划规模较去年增加近两倍,共有185机构,共10,326名员工参与演习,特别是得到中小企的积极参与,显示有效提升业界的关注,令人鼓舞。
(左起)国内移动香港有限公司董事兼行政总裁李帆风、香港互联网注册管理有限公司行政总裁黄家伟、网络安全及科技罪案调查科(网络安全、法理监证及训练)高级警司林焯豪、网络安全及科技罪案调査科(网络情报组)高级督察吴柏慧(右)指尽管业界和社会大众防范钓鱼电邮的意识提高,但不能因此掉以轻心。
HKIRC行政总裁黄家伟工程师指出:「对于能够令演习的参与人数倍增,我们感到非常满意,反映出推广和宣传工作取得了积极效果。过去,HKIRC一直致力推动香港成为一个更安全的互联网环境,并与警方及其他合作伙伴定期举办网络安全研讨会。单在去年,HKIRC所推出的『网络安全员工培训平台』(Cybersec Training Hub),为中小企提供免费网上资源,协助机构提升员工的网络安全意识,在短短一年间已成功培训超过8万位用户。」
一成六参加者点击钓鱼电邮 「视像会议邀请」最易令人上当
参与是次演习的机构员工,会在一个月内收到共五封不同主题的模拟钓鱼电邮,包括「订阅AI聊天机械人服务」、「视像会议邀请」、「电邮帐户身份验证」、「外卖平台问卷调查」及「IT部门核实口令请求」,参加者如果点击了电邮连结进入缺省的网站,便会视为「上钓」,即是遭受钓鱼攻击。当中有近一成六的参加者点击了至少一封电邮连结,而在这些参加者中,有近三成开启了多于一封电邮的连结,显示他们在网络安全意识方面还有进一步提升的空间;而在机构层面方面上,185间参与演习的机构中,有六成一的机构至少有一名员工点击了电邮连结。
而在是次演习中,点击率最高的电邮是「视像会议邀请」邮件,达到7.3%。网罪科高级警司林焯豪指:「相信大部分参加者的日常工作也会接收视像会议连结的电邮,对有关电邮戒心较低;其次是『订阅AI聊天机械人』及『IT部门核实口令请求』电邮,两封电邮的点击率同样是5.6%。这也不难理解,白领一族逐渐开始使用AI聊天机械人辅助日常工作,而他们对看似由公司内部发出的邮件的戒心也相对较低。」
电邮骗案数字持续滑落 基层高层均不宜松懈
根据警方公布的数字,过去五年,本港电邮骗案数字持续下降,由2018年894宗案件辗转回落至去年391宗(-56%),损失亦由2019年顶峰的 $25.3亿元大幅减少七成至去年$7.5亿元。而今年首5个月,电邮骗案数字继续滑落,录得共71宗案件,比去年同期155宗下跌超过一半(-54.2%),损失更大幅减少近九成至$5000万元。
黄家伟续称:「尽管是次演习的表现有所改善,我们还是需要继续努力,六成一的机构受到模拟网络钓鱼攻击显示仍然有很大的进步空间,因此我们还需要藉着钓鱼演习等来提醒中小企。」从是次演习的结果可见,基层员工普遍认为他们所持有的数据并不重要,网络安全只是属于高层的责任,然而,黑客向来取易不取难,攻击者可能透过基本员工的帐户潜伏,慢慢扩大攻击范围,偷取其他机密数据。
事实上,骗徒往往会从大家的日常生活中着手,例如近期常见的钓鱼短讯。在发布会上,国内移动香港有限公司董事兼行政总裁的李帆风先生就分享道:「公司现时会根据警方分享可疑网页列表,在用户点击相关连结时会发出提醒。但单计公司旗下用户在上星期的数据显示,列表上4千多个网页平均每日都有超过100万次的访问次数,情况较想像中更为严峻。」
黄家伟总结指:「面对日新月异的钓鱼攻击,要做好防御工作,需要每个人都主动多走一步。不仅只是高层,更是全公司员工的责任,尤其面对钓鱼攻击的『零信任原则』不可忽视,建议机构提供或寻找培训来加强对基本员工的网络安全意识培训,在入职时给予培训及每年定期重温。透过这些培训,员工可以学习如何识别钓鱼邮件,如何报告可疑的邮件或行为,以及如何遵守『零信任原则』,提高员工的警觉性和安全意识。」
HKIRC推免费培训平台 助业界认识网络安全
HKIRC推出的Cybersec Training Hub为一个免费培训平台,用户只需记住简易网址cyberhub.hk,即可为员工灵活安排接受培训时间,例如入职时便可以依照平台的指引进行自助培训。培训平台的内容趣味性与实用性兼备,并且有本地数据和案例,贴近现实工作环境,确保员工获得最基本的网络安全意识和技能。此外,该平台的培训内容设计得非常易于理解,即使是没有IT技能背景的员工也能参与。
通过Cybersec Training Hub的培训,员工可以进行小测试,测试完成并且合格后,便可获得电子证书乙张。电子证书有助于企业评估员工的网络安全认知和技能,增强企业维护网络安全的信心。此外,透过这样的培训平台,企业可以扩大员工受培训基数,从最根本的源头做起,保障公司的网络安全。
关于香港互联网注册管理有限公司
香港互联网注册管理有限公司 (HKIRC) 为香港特别行政区政府指定的非利润分配、非法定担保有限公司,专责从事香港地区顶级域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登记类别包括英文的.com.hk、.org.hk、 .net.hk、.edu.hk、.gov.hk、.idv.hk、.hk,及中文的.公司.香港、.组织.香港、.网络.香港、.教育.香港、.政府.香港、.个人.香港、.香港,和将会在香港推出其他相关域名的服务。