HKCERT同日發表「香港企業網絡安全現況」研究結果,分析本地企業在面對網絡風險時的防禦能力與資源配置現況。是次研究涵蓋622間企業(包括544間中小企及78間大企業),並訪問50間網絡安全服務供應商,評估本地企業選擇網絡安全服務時的重要因素。研究顯示,七成企業有設網絡安全人手,反映本地企業對網絡防禦的重視程度逐步提升。當中不少中小企亦已著手加強保安部署,展現積極應對威脅的意識,惟在技術應用層面及資源投放方面,與大型企業相比仍存在一定差距。另外,35%使用AI的企業表示會輸入公司資料至AI工具,顯示本地整體防禦能力及AI管治意識仍有進一步提升的空間。
生產力局首席數碼總監黎少斌先生表示:「AI技術普及可以推動創新,但亦可成為黑客的利器,使網絡威脅更趨隱蔽且規模更大。報告顯示,企業在使用AI工具方面普遍缺乏清晰規範,特別是中小企在資源和認知上的限制,令他們未必充分了解當中潛在風險。此外,供應鏈攻擊已成為企業安全防線中最脆弱的一環,即使企業本身的防護措施完善,單一合作方的漏洞足以引發連鎖危機。面對這些挑戰,企業必須從被動應對轉向主動部署,著手制定明確的AI使用規範與審核機制,深度整合至企業的整體網絡安全策略之中。」
2025年網安事故概況:
釣魚攻擊佔近六成事故宗數破紀錄
根據HKCERT最新統計,2025年共錄得15,877宗網安事故,其中網絡釣魚攻擊持續成為最主要的威脅來源,佔整體事故近六成(57%)。由於生成式AI令釣魚訊息更具真實感,亦更難辨識,進一步加劇網絡安全風險。釣魚攻擊場景亦正由傳統電郵蔓延至社交媒體或即時通訊平台(如WhatsApp)(34%)、加密貨幣平台(18%)等。
同時,易受攻擊系統的個案亦顯著增加(2,328宗,佔整體事故15%),較去年上升超過3.5倍,顯示系統配置錯誤及未及時修補漏洞,已形成網絡安全缺口。殭屍網絡(Botnet)個案則與去年相約(18%),雖然呈不變趨勢,但殭屍網絡本身極難徹底清除,是長期潛伏的威脅來源。
2026年五大網絡安全風險
根據行業專家分析及生產力局對本地企業環境的持續研究,綜合業界趨勢與技術發展,HKCERT預測以下五大網絡安全風險將於2026年對企業構成重大挑戰:
1.AI驅動的網絡攻擊與代理式AI風險(Agentic AI)
隨着AI技術日益進步,黑客亦開始利用AI進行更高階的攻擊。尤其是具備自主學習與執行能力的代理式AI,能夠在無需人手介入的情況下自行判斷並採取實際行動,一旦被黑客入侵,將自動執行潛在惡意指令,令攻擊更難預測與防範。
2. 企業AI規管薄弱加劇資料外洩影響
在缺乏內部AI管治框架的情況下,企業敏感資料(如客戶資訊、合約內容等)可能因員工誤用公共AI平台而外洩。常見情況包括:員工使用未經授權工具,且對平台隱私聲明理解不足,誤判資料安全性,繼而輸入敏感內容,造成實際洩漏。
3.供應鏈漏洞及第三方安全缺口
企業在業務過程中愈來愈依賴外判服務及第三方平台處理業務流程,然而當這些合作夥伴遭受網絡攻擊或安全系統有漏洞時,亦會嚴重影響企業的網絡安全。即使企業本身的防禦措施完善,也可能因合作方出現漏洞而間接受害。
4.過度依賴雲端基礎設施導致單一故障點
雲端平台已成為企業日常營運的基礎設施,包括資料儲存、應用部署、通訊及備份等。然而,過度依賴單一雲端供應商而缺乏備援方案,將令企業在遇上平台故障或供應商中斷服務時無法運作。
5.具AI功能設備的新興威脅
隨着智能設備(如語音助理、辦公或客服機械人等)廣泛應用於營運環節,這些具AI功能的設備開始暴露出潛在的安全風險。這些設備通常會配置大型語言模型以協助理解與解析人類指令。然而,隨著大型語言模型被嵌入實體系統,其原本存在於數字環境中的安全漏洞,也可能進一步延伸並影響現實世界。若缺乏嚴謹的驗證機制,極易受到錯誤指令或語音欺騙影響,而執行危險動作。
近三成企業仍無人手負責網安中小企防禦力與投資有待加強
「香港企業網絡安全現況」結果顯示,超過七成(71%)企業有設立網安人員,反映整體對網安工作的重視程度正逐步提升。按企業規模劃分,67%的中小企有員工負責網絡安全,而大企則有超過九成(95%)。其中,26%中小企設有專職網安人員,與大企業的59%相比仍有差距,反映不同規模企業在資源配置與專業支援方面存在不同挑戰。
不少中小企已部署基本防護措施,例如有48%中小企採用電郵保安方案,但相比大企業的79%,仍有進一步提升空間。至於特權存取管理(PAM)方面,中小企的採用率為29%,亦低於大企業的60%。進階防護技術如資料保護措施(中小企39%,大企72%)方面,亦反映中小企在推動技術升級方面仍需支援,尤其在數據安全日益重要的今天,大中小企的防護同樣不可忽視。
在資源投放方面,雖然中小企整體投入較為審慎,但已有部分企業逐步加強網安投資與培訓。過去一年,13%的中小企增加了網安相關資源(人手、設備等),而在網安培訓方面,亦有12%的中小企加大投入。相對而言,大企業的比例分別為41%及50%。展望未來12個月,中小企在增聘網安人手(中小企5%,大企15%)、培訓(中小企13%,大企38%)、預算(中小企13%,大企36%)等方面的規劃較為保守,但隨着威脅形勢演變,相信企業將逐步提升相關投入,以強化整體防禦能力。
HKCERT五大建議:助企業建立有效網安防禦機制
HKCERT提出五項建議,涵蓋政策制定、技術實施及員工參與三大範疇,協助企業建立全面防禦機制﹕
- 指派人手負責網安﹕企業應指派具備基本網安知識的員工負責日常監察與應變工作,有清晰職責分工,確保能及時應對突發情況。
- 推行AI治理及規範﹕隨着AI工具及第三方平台的應用日益普及,企業應制定相關政策與操作指引,清楚列明可使用的工具、資料輸入範圍,以及供應商出現事故時的應變流程,降低技術應用帶來的營運風險。
- 全體員工共同合作防範釣魚攻擊:企業應同時採取技術措施(如電郵過濾、多重認證)與全員參與的安全文化,共同防範釣魚攻擊,提升每位員工辨識可疑郵件與連結的能力,減少資料外洩風險。
- 提高全體員工網安意識﹕網絡安全是全體員工的共同責任。企業應定期為各部門提供針對性的安全培訓,特別是涉及敏感數據的崗位,並透過模擬演練與實例學習,加強應變能力,降低人為錯誤。
- 強化技術保護措施 ﹕企業應落實關鍵的網絡安全技術,包括:
- 電郵保安與存取權限管控
- 資料保護措施(如加密與備份)
- 遠端存取保安機制(如VPN、身份驗證)
- 主動式安全方案(如入侵偵測、防火牆監控)
在面對日益複雜的網絡威脅及不斷演進的攻擊技術時,協助中小企業有效部署網絡安全防護已成為社會各界的重要責任。除設有24小時事故報告及支援熱線外,HKCERT亦負責持續監測本地網絡活動,並於偵測到針對香港的網絡攻擊時,主動追蹤及打擊源頭和適時發放公眾警報,近年來,HKCERT更運用自身研發的AI系統,預先打擊釣魚網站,防患於未然。為加強中小企的預防措施及推廣教育,HKCERT針對新興科技風險發布多份安全指引,協助技術人員了解並採取合適的保安策略;同時,透過專題網頁詳細解析嚴重的釣魚及勒索軟件攻擊,每年舉辦大型公眾活動及參與超過三十場研討會,積極推廣網絡安全意識。
去年起,HKCERT更進一步擔任中小企業與業界網安服務供應商之間的橋樑,攜手數字政策辦公室推出「網絡安全服務供應商聯動計劃」。該計劃透過一站式平台,匯聚21家通過審核的網安服務商,提供防護、評估、應變及培訓四大範疇的網安服務,有效協助中小企快速配對最合適的解決方案,提升其整體防禦能力。未來,該計劃將持續優化服務內容,推動資源共享,與業界攜手構建更安全的數碼營商環境。
Hashtag: #HKCERT
發佈者對本公告的內容承擔全部責任
關於香港網絡安全事故協調中心
由香港生產力促進局管理的香港網絡安全事故協調中心,是本港的資訊保安事故協調中心,為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務,及提高保安意識。
本中心聯絡本地的組織,負責收集、發放訊息及協調保安事故應變行動。HKCERT 亦是全球保安事故協調中心組織 (Forum of Incident Response and Security Teams, FIRST) 及 亞太區電腦保安事故協調中心組織 (Asia Pacific Computer Emergency Response Teams, APCERT) 的成員,與其他協調中心在跨境資訊保安事故上,交換情報和保持聯繫。
關於香港生產力促進局
香港生產力促進局(生產力局)是於1967年成立的法定機構,致力以世界級的應用研發、科技服務與綜合製造服務推動香港企業提升生產力與競爭優勢。作為以市場為導向的國際新型研發機構,生產力局憑藉在人工智能、先進製造、生命健康、綠色科技及新能源等前沿領域的深厚實力和豐富產業經驗,以創新科技引領新型工業化,推動新興及未來產業發展。
生產力局以解決企業痛點和產業發展技術需求為核心,推動科技創新和產業創新深度融合,透過技術轉移、產品創新、知識產權保護及研發成果商品化,強化與本地工商界及國際頂尖研發機構的協作,為產業創優增值,促進新質生產力發展。多年來,生產力局的卓越研發成果屢獲本地、内地及海外獎項殊榮,持續助力香港成為國際創新科技中心及智慧城市。
為協助企業善用香港的國際化優勢拓展全球市場,生產力局提供產品、技術、製造及管理等關鍵需求的綜合出海服務,助力企業通過香港成功出海。
生產力局亦致力為中小企和初創企業提供即時和適切的支援,協助企業善用政府資助計劃,並透過未來技能發展課程,促進企業及學界掌握最新數碼及STEM技術,為香港培育具競爭力的未來人才。
如欲瞭解更多詳情,請瀏覽生產力局網頁:www.hkpc.org。
新聞來源:media-outreach
以上新聞投稿內容由Media-outreach全權自負責任,若有涉及任何違反法令、違反本網站會員條款、有侵害第三人權益之虞,將一概由Media-outreach承擔法律及損害賠償之責任,與新頭條Thehubnews無關。
