HKIRC與香港警務處攜手合辦《釣魚電郵演習2023》

By PR Newswire on 02 Aug 2023

PR Newswire (www.prnasia.com), a Cision company, is the premier global provider of media monitoring platforms and news distribution services that marketers, corporate communicators and investor relations professionals leverage to engage key audiences. Having pioneered the commercial news distribution industry since 1954, PR Newswire today provides end-to-end solutions to produce, distribute, target and measure text and multimedia content across traditional, digital, mobile and social channels. Combining the world's largest multi-channel content distribution and optimization network with comprehensive workflow tools and platforms, PR Newswire powers the stories of organizations around the world. PR Newswire serves tens of thousands of clients from offices in the Americas, Europe, Middle East, Africa and Asia-Pacific regions.

逾萬僱員參與創新高提升業界網絡安全意識

香港2023年8月2日 /美通社/ -- 香港互聯網註冊管理有限公司（HKIRC）聯同香港警務處網絡安全及科技罪案調查科合作舉辦的「釣魚電郵演習2023」已經完滿結束。日前於警察總部警政大樓舉行發布會，分享演習的成果。是次演習是首次由HKIRC及警方攜手合辦，參與的機構數量和員工人數都得以提高，計劃規模較去年增加近兩倍，共有185機構，共10,326名員工參與演習，特別是得到中小企的積極參與，顯示有效提升業界的關注，令人鼓舞。

（左起）中國移動香港有限公司董事兼行政總裁李帆風、香港互聯網註冊管理有限公司行政總裁黃家偉、網絡安全及科技罪案調查科（網絡安全、法理鑑證及訓練）高級警司林焯豪、網絡安全及科技罪案調査科（網絡情報組）高級督察吳柏慧（右）指儘管業界和社會大眾防範釣魚電郵的意識提高，但不能因此掉以輕心。

HKIRC行政總裁黃家偉工程師指出：「對於能夠令演習的參與人數倍增，我們感到非常滿意，反映出推廣和宣傳工作取得了積極效果。過去，HKIRC一直致力推動香港成為一個更安全的互聯網環境，並與警方及其他合作伙伴定期舉辦網絡安全研討會。單在去年，HKIRC所推出的『網絡安全員工培訓平台』（Cybersec Training Hub），為中小企提供免費網上資源，協助機構提升員工的網絡安全意識，在短短一年間已成功培訓超過8萬位用戶。」

一成六參加者點擊釣魚電郵「視像會議邀請」最易令人上當

參與是次演習的機構員工，會在一個月內收到共五封不同主題的模擬釣魚電郵，包括「訂閱AI聊天機械人服務」、「視像會議邀請」、「電郵帳戶身分驗證」、「外賣平台問卷調查」及「IT部門核實密碼請求」，參加者如果點擊了電郵連結進入預設的網站，便會視為「上釣」，即是遭受釣魚攻擊。當中有近一成六的參加者點擊了至少一封電郵連結，而在這些參加者中，有近三成開啟了多於一封電郵的連結，顯示他們在網絡安全意識方面還有進一步提升的空間；而在機構層面方面上，185間參與演習的機構中，有六成一的機構至少有一名員工點擊了電郵連結。

而在是次演習中，點擊率最高的電郵是「視像會議邀請」郵件，達到7.3%。網罪科高級警司林焯豪指：「相信大部分參加者的日常工作也會接收視像會議連結的電郵，對有關電郵戒心較低；其次是『訂閱AI聊天機械人』及『IT部門核實密碼請求』電郵，兩封電郵的點擊率同樣是5.6%。這也不難理解，白領一族逐漸開始使用AI聊天機械人輔助日常工作，而他們對看似由公司內部發出的郵件的戒心也相對較低。」

電郵騙案數字持續滑落基層高層均不宜鬆懈

根據警方公布的數字，過去五年，本港電郵騙案數字持續下降，由2018年894宗案件輾轉回落至去年391宗（-56%），損失亦由2019年頂峰的 $25.3億元大幅減少七成至去年$7.5億元。而今年首5個月，電郵騙案數字繼續滑落，錄得共71宗案件，比去年同期155宗下跌超過一半（-54.2%），損失更大幅減少近九成至$5000萬元。

黃家偉續稱：「儘管是次演習的表現有所改善，我們還是需要繼續努力，六成一的機構受到模擬網絡釣魚攻擊顯示仍然有很大的進步空間，因此我們還需要藉著釣魚演習等來提醒中小企。」從是次演習的結果可見，基層員工普遍認為他們所持有的數據並不重要，網絡安全只是屬於高層的責任，然而，黑客向來取易不取難，攻擊者可能透過基本員工的帳戶潛伏，慢慢擴大攻擊範圍，偷取其他機密數據。

事實上，騙徒往往會從大家的日常生活中著手，例如近期常見的釣魚短訊。在發布會上，中國移動香港有限公司董事兼行政總裁的李帆風先生就分享道：「公司現時會根據警方分享可疑網頁列表，在用戶點擊相關連結時會發出提醒。但單計公司旗下用戶在上星期的數據顯示，列表上4千多個網頁平均每日都有超過100萬次的訪問次數，情況較想像中更為嚴峻。」

黃家偉總結指：「面對日新月異的釣魚攻擊，要做好防禦工作，需要每個人都主動多走一步。不僅只是高層，更是全公司員工的責任，尤其面對釣魚攻擊的『零信任原則』不可忽視，建議機構提供或尋找培訓來加強對基本員工的網絡安全意識培訓，在入職時給予培訓及每年定期重溫。透過這些培訓，員工可以學習如何辨識釣魚郵件，如何報告可疑的郵件或行為，以及如何遵守『零信任原則』，提高員工的警覺性和安全意識。」

HKIRC推免費培訓平台助業界認識網絡安全

HKIRC推出的Cybersec Training Hub為一個免費培訓平台，用戶只需記住簡易網址cyberhub.hk，即可為員工靈活安排接受培訓時間，例如入職時便可以依照平台的指引進行自助培訓。培訓平台的內容趣味性與實用性兼備，並且有本地數據和案例，貼近現實工作環境，確保員工獲得最基本的網絡安全意識和技能。此外，該平台的培訓內容設計得非常易於理解，即使是沒有IT技能背景的員工也能參與。

通過Cybersec Training Hub的培訓，員工可以進行小測試，測試完成並且合格後，便可獲得電子證書乙張。電子證書有助於企業評估員工的網絡安全認知和技能，增強企業維護網絡安全的信心。此外，透過這樣的培訓平台，企業可以擴大員工受培訓基數，從最根本的源頭做起，保障公司的網絡安全。

關於香港互聯網註冊管理有限公司

香港互聯網註冊管理有限公司 (HKIRC) 為香港特別行政區政府指定的非利潤分配、非法定擔保有限公司，專責從事香港地區頂級域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登記類別包括英文的.com.hk、.org.hk、 .net.hk、.edu.hk、.gov.hk、.idv.hk、.hk，及中文的.公司.香港、.組織.香港、.網絡.香港、.教育.香港、.政府.香港、.個人.香港、.香港，和將會在香港推出其他相關域名的服務。