近年香港中小企都積極數碼轉型,加上漸多企業採用混合工作模式,網絡保安管理將成為中小企的新挑戰。根據香港生產力促進局發布的《HKT 香港企業網絡保安準備指數 2022》,香港企業受到網絡安全攻擊百分比持續上升。
大部分中小企缺乏人力物力建立滴水不漏的網絡保安系統,一個不留神,就有機會因黑客入侵、資料外洩等,引致財務損失及聲譽受損。本文整理中小企常見的網絡安全隱患,讓大家及早提防,避免不必要損失。
員工缺乏安全意識
過半的網絡攻撃成功的個案都是由內部員工所引發,駭客透過網絡釣魚引誘受害人點擊可疑連結、開啟可疑電郵或下載不明軟件,藉以騙取員工的權限,再入侵公司網絡,盜取內部資料。
駭客能成功透過內部員工作為突破口,主要是員工對網絡安全意識的敏感度及警覺性不足,在使用公司電腦時就隨意點開可疑連結及郵件。企業可定期向員工提供網絡安全培訓及訓練,如讓員工參加網絡安全培訓課程、發放網絡安全相關新聞及進行網絡攻擊演習等,加強員工的警覺性,減低公司電腦遭入侵的機會。
密碼強度低
現時各個平台都需要設定賬號及密碼,於是有人為求方便就喜歡設定同一款密碼,或一些易記的密碼。如果公司系統的設定或員工電腦都使用這些強度低的密碼,會讓駭客很容易便破解,從而獲得賬號的控制權y公司數據資料將予取予求,一旦客戶資料外洩,更會損害企業品牌形象及金錢上的損失。
中小企老闆需要重視密碼安全管理,例如強制規定員工需定期更改登入密碼;需使用強度較高的密碼,如密碼至少需使用10個字元以上,密碼需包含英文字母大小楷、數字及特殊符號,愈複雜的密碼,愈難以破解。同時可採用雙重驗證,進一步保障賬戶安全。
另外,企業可設定不同職位員工的存取權限,只有獲公司授權的員工才可存取特定資料,這樣可減低因員工密碼被盜而導致全部公司資料外洩的風險。
AI安全隱患
AI工具的功能強大,不少企業都在討論如何運用AI提升生產效率及營運收益,但是AI帶來的網絡安全隱患不可忽視。近年熱門的生成式AI工具都大量數據進行訓練,員工使用時,如將客戶個人資料、公司財務狀況等公司敏感資訊輸入,就有機會成為AI系統的訓練數據,甚至成為其他人使用AI工具時獲得的答案。
想避免這種情況,中小企應建立建全的儲存系統,將公司的敏感資料與一般資料分別存放,並就員工使用AI工具方式定下嚴格規則,確保敏感數據萬無一失。
雲端成漏洞
雲端儲存服務令工作不受地域限制,團隊間的協作變得更方便,但同時雲端儲存服務有潛在的安全風險。過往不少有企業發生雲端數據庫資料外洩事件,因此我們不能盲目把網絡保安全寄託在第三方身上。雲端服務商是駭客的熱門攻擊目標,如雲端服務商被攻擊至停止服務,而你所有的資料都只存放在雲端中,那麼公司運作將面臨停擺。
中小企應制定一套規範的雲端資料處理流程,將公司資料做好備份,同時在將重要資訊上存雲端時要做好加密工作,以增加保障。
另外,由於員工很可能在不同地點連上公司雲端,這就給了駭客可乘之機。因此,企業要千叮萬囑員工不要在使用公共Wi-Fi時,輸入公司雲端的賬號及密碼,讓駭客無法從不安全的網路竊取資料。