適逢網絡安全及科技罪案調查科成立十週年,網罪科今日(2日)於警務處網頁發表首份網絡安全報告,涵蓋香港2024年的網絡安全形勢,並作出專業分析及提供專家建議,當中提及網罪科去年檢測了逾9萬個重要基礎設施的網絡資產如域名等,發現約5%存在系統安全漏洞和弱點,部分更屬極高及高風險,一旦遭遇網絡攻擊,極可能嚴重影響重要基礎設施的正常運作,慶幸透過即時通報,已及時採取補救措施。網罪科強調,會繼續透過嚴謹的網絡防禦機制進行適時通報及攔截,築起網絡安全防線。
去年警方錄得33903宗科技罪案,累計損失高達51.3億元,當中8成屬於網上騙案,其餘包括具破壞性的網絡攻擊,例如入侵系統活動、勒索軟件及分散式阻斷服務攻擊,分別有61宗、46宗及5宗,其中入侵系統活動案件最大損失金額高達2100萬元,牽涉一間提供金融服務的公司,黑客利用漏洞控制客戶帳戶進行未經授權交易。至於今年首季,警方錄得7680宗科技罪案,累計損失金額約14.3億元,當中有14宗入侵系統活動案件及15宗勒索軟件案件,所有受勒索軟件影響的企業均沒有繳付贖金。
網罪科高級警司梁靄琳強調,儘管具破壞性的網絡攻擊相關案件所佔比不高,惟一旦發生,會對受害機構造成嚴重影響,可導致服務中斷、敏感數據外洩、財政和聲譽損害等,不容忽視。
立法會早前三讀通過《保護關鍵基礎設施(電腦系統)條例草案》,梁指出,網罪科有為重要基礎設施定期進行「網絡資產安全評估」,去年檢測了超過90000個重要基礎設施的網絡資產如URLs、域名及IP地址等,發現約5%存在不同程度的系統安全漏洞和弱點,其中更有11%屬極高及高風險,包括憑證外洩或遭盜用、可被騎劫的子域名,以及被暴露的雲端儲存服務,「一旦被攻擊者利用,極可能嚴重影響重要基礎設施的正常運作;透過即時通報,所有重要基礎設施已及時採取補救措施。」
另外,網罪科去年收集及處理了超過2500萬項網絡威脅情報,當中針對香港的威脅情報有超過44萬項,包括可疑網站、IP地址、域名、攻擊手法、惡意軟件雜湊值等資訊。網罪科警司陳純青指出,44萬項針對香港的威脅情報中,有超過6成與網絡釣魚相關,黑客會利用發送釣魚電子郵件或短訊等手法,誘使受害者或機構員工點擊惡意連結,從而製造入侵電腦系統的入口;殭屍網絡、偵察活動和惡意軟件亦是常見的網絡攻擊手法,其中勒索軟件已成為全球網絡罪犯其中一個牟利工具,並演變成龐大的地下產業。
陳純青補充,透過剖析2024年的網絡安全事件,發現不同受害機構中,被重複利用的系統安全漏洞有存取控制和配置不足、系統過時且未修補和欠缺威脅偵測機制。
網罪科總警司林焯豪表示,2024年全球因網絡犯罪而導致全年經濟損失估計高達9.5兆美元,2025年更可能達到10.5兆美元,他引用網絡安全專家的建議,提醒市民及企業需建立全面的網絡安全策略,並採取主動防禦措施。
林焯豪補充,不論個人或企業,人為因素往往是網絡安全最脆弱的一環,因此要保持高度警覺性,並緊貼最新網絡攻擊手法及趨勢,亦要確保系統和設備安全,並且做好應變及補救的準備,例如定期更新軟件、啟用多重身份認證、定期利用滲透測試及漏洞評估等技術主動排查安全隱患等,「企業亦要審查第三方服務的網絡安全措施,減少對單一服務過度依賴,亦要加密及限制存取敏感數據。」
談及網絡安全的未來挑戰,網罪科總警司林焯豪指出,人工智能網絡威脅及系統安全風險將會持續上升,勒索軟件仍會繼續猖獗,因此各機構必須實施完善的人工智能安全措施和部署先進的威脅偵測系統,「無論機構規模大小,都必需有健全的備份策略、事故應變計劃和安全意識培訓,以應對勒索軟件的持續威脅。」
他續指,針對重要基礎設施的攻擊將陸續湧現,對香港的必要服務和公用事業構成重大威脅,因此必須優先加強電腦系統和運營科技系統的網絡安全,共同守護市民利益;針對區塊鏈和加密貨幣的攻擊、物聯網安全風險、供應鏈和第三方風險,以及雲端保安和混合工作模式的風險亦會不斷升級,相關的個人及企業都應做好準備。
面對未來挑戰,網罪科會繼續透過多方面的主動措施應對,並致力透過舉辦網絡安全演習、研討會、攻防大賽,以及提供釣魚電郵演習及網絡安全漏洞測試等免費活動建立本港整體網絡韌性。網罪科將於今年7至8月舉辦為期8週的「狩網運動2025」,透過招募專業網絡安全專家為本地中小企業提供免費的漏洞檢測服務,並提供專業諮詢,幫助企業提升網絡安全防護,應對因人工智能技術逐漸融入企業營運所帶來的數碼安全風險。
此外,網罪科將於今年7月29日至31日舉辦「網絡攻防精英培訓暨攻防大賽」,旨在為網絡安全從業員提供網絡攻擊及防禦訓練,並應用於模擬網絡攻擊的比賽中,以提升其專業水平及網絡事故應變能力,全面鞏固香港的網絡安全。
記者 麥鍵瀧
