HKCERT發表「香港網絡安全展望2026」網安事故年升27%創新高 AI 應用與供應鏈風險成關注近三成企業仍無人手負責網安

By Media OutReach on 28 Jan 2026

Media OutReach is the first full-service newswire company in Asia Pacific offering a totally integrated service of press release distribution and media monitoring with analysis service for the public relations and investors relations communities. Founded in 2009, the company is headquartered in Hong Kong with office in Singapore.

香港 - Media OutReach Newswire - 2026年1月28日 - 香港生產力促進局（生產力局）轄下的香港網絡安全事故協調中心（HKCERT）今日舉行傳媒簡介會，發表年度「香港網絡安全展望2026」。報告指出，隨著人工智能（AI）技術迅速普及，網絡攻擊變得更具自動化、針對性和破壞力，威脅企業營運及資訊安全。2025年本港錄得15,877宗網安事故，按年上升27%，創下歷年新高。報告同時預測2026年將有五大網絡安全風險浮現，主要分為AI 應用及供應鏈風險兩大類。

HKCERT同日發表「香港企業網絡安全現況」研究結果，分析本地企業在面對網絡風險時的防禦能力與資源配置現況。是次研究涵蓋622間企業（包括544間中小企及78間大企業），並訪問50間網絡安全服務供應商，評估本地企業選擇網絡安全服務時的重要因素。研究顯示，七成企業有設網絡安全人手，反映本地企業對網絡防禦的重視程度逐步提升。當中不少中小企亦已著手加強保安部署，展現積極應對威脅的意識，惟在技術應用層面及資源投放方面，與大型企業相比仍存在一定差距。另外，35%使用AI的企業表示會輸入公司資料至AI工具，顯示本地整體防禦能力及AI管治意識仍有進一步提升的空間。

生產力局首席數碼總監黎少斌先生表示：「AI技術普及可以推動創新，但亦可成為黑客的利器，使網絡威脅更趨隱蔽且規模更大。報告顯示，企業在使用AI工具方面普遍缺乏清晰規範，特別是中小企在資源和認知上的限制，令他們未必充分了解當中潛在風險。此外，供應鏈攻擊已成為企業安全防線中最脆弱的一環，即使企業本身的防護措施完善，單一合作方的漏洞足以引發連鎖危機。面對這些挑戰，企業必須從被動應對轉向主動部署，著手制定明確的AI使用規範與審核機制，深度整合至企業的整體網絡安全策略之中。」

2025年網安事故概況：

釣魚攻擊佔近六成事故宗數破紀錄

根據HKCERT最新統計，2025年共錄得15,877宗網安事故，其中網絡釣魚攻擊持續成為最主要的威脅來源，佔整體事故近六成（57%）。由於生成式AI令釣魚訊息更具真實感，亦更難辨識，進一步加劇網絡安全風險。釣魚攻擊場景亦正由傳統電郵蔓延至社交媒體或即時通訊平台（如WhatsApp）（34%）、加密貨幣平台（18%）等。

同時，易受攻擊系統的個案亦顯著增加（2,328宗，佔整體事故15%），較去年上升超過3.5倍，顯示系統配置錯誤及未及時修補漏洞，已形成網絡安全缺口。殭屍網絡（Botnet）個案則與去年相約（18%），雖然呈不變趨勢，但殭屍網絡本身極難徹底清除，是長期潛伏的威脅來源。

2026年五大網絡安全風險

根據行業專家分析及生產力局對本地企業環境的持續研究，綜合業界趨勢與技術發展，HKCERT預測以下五大網絡安全風險將於2026年對企業構成重大挑戰：

1.AI驅動的網絡攻擊與代理式AI風險（Agentic AI）
隨着AI技術日益進步，黑客亦開始利用AI進行更高階的攻擊。尤其是具備自主學習與執行能力的代理式AI，能夠在無需人手介入的情況下自行判斷並採取實際行動，一旦被黑客入侵，將自動執行潛在惡意指令，令攻擊更難預測與防範。

2. 企業AI規管薄弱加劇資料外洩影響
在缺乏內部AI管治框架的情況下，企業敏感資料（如客戶資訊、合約內容等）可能因員工誤用公共AI平台而外洩。常見情況包括：員工使用未經授權工具，且對平台隱私聲明理解不足，誤判資料安全性，繼而輸入敏感內容，造成實際洩漏。

3.供應鏈漏洞及第三方安全缺口
企業在業務過程中愈來愈依賴外判服務及第三方平台處理業務流程，然而當這些合作夥伴遭受網絡攻擊或安全系統有漏洞時，亦會嚴重影響企業的網絡安全。即使企業本身的防禦措施完善，也可能因合作方出現漏洞而間接受害。

4.過度依賴雲端基礎設施導致單一故障點
雲端平台已成為企業日常營運的基礎設施，包括資料儲存、應用部署、通訊及備份等。然而，過度依賴單一雲端供應商而缺乏備援方案，將令企業在遇上平台故障或供應商中斷服務時無法運作。

5.具AI功能設備的新興威脅
隨着智能設備（如語音助理、辦公或客服機械人等）廣泛應用於營運環節，這些具AI功能的設備開始暴露出潛在的安全風險。這些設備通常會配置大型語言模型以協助理解與解析人類指令。然而，隨著大型語言模型被嵌入實體系統，其原本存在於數字環境中的安全漏洞，也可能進一步延伸並影響現實世界。若缺乏嚴謹的驗證機制，極易受到錯誤指令或語音欺騙影響，而執行危險動作。

近三成企業仍無人手負責網安中小企防禦力與投資有待加強
「香港企業網絡安全現況」結果顯示，超過七成（71%）企業有設立網安人員，反映整體對網安工作的重視程度正逐步提升。按企業規模劃分，67%的中小企有員工負責網絡安全，而大企則有超過九成（95%）。其中，26%中小企設有專職網安人員，與大企業的59%相比仍有差距，反映不同規模企業在資源配置與專業支援方面存在不同挑戰。

不少中小企已部署基本防護措施，例如有48%中小企採用電郵保安方案，但相比大企業的79%，仍有進一步提升空間。至於特權存取管理（PAM）方面，中小企的採用率為29%，亦低於大企業的60%。進階防護技術如資料保護措施（中小企39%，大企72%）方面，亦反映中小企在推動技術升級方面仍需支援，尤其在數據安全日益重要的今天，大中小企的防護同樣不可忽視。

在資源投放方面，雖然中小企整體投入較為審慎，但已有部分企業逐步加強網安投資與培訓。過去一年，13%的中小企增加了網安相關資源（人手、設備等），而在網安培訓方面，亦有12%的中小企加大投入。相對而言，大企業的比例分別為41%及50%。展望未來12個月，中小企在增聘網安人手（中小企5%，大企15%）、培訓（中小企13%，大企38%）、預算（中小企13%，大企36%）等方面的規劃較為保守，但隨着威脅形勢演變，相信企業將逐步提升相關投入，以強化整體防禦能力。

HKCERT五大建議：助企業建立有效網安防禦機制

HKCERT提出五項建議，涵蓋政策制定、技術實施及員工參與三大範疇，協助企業建立全面防禦機制﹕

指派人手負責網安﹕企業應指派具備基本網安知識的員工負責日常監察與應變工作，有清晰職責分工，確保能及時應對突發情況。
推行AI治理及規範﹕隨着AI工具及第三方平台的應用日益普及，企業應制定相關政策與操作指引，清楚列明可使用的工具、資料輸入範圍，以及供應商出現事故時的應變流程，降低技術應用帶來的營運風險。
全體員工共同合作防範釣魚攻擊：企業應同時採取技術措施（如電郵過濾、多重認證）與全員參與的安全文化，共同防範釣魚攻擊，提升每位員工辨識可疑郵件與連結的能力，減少資料外洩風險。
提高全體員工網安意識﹕網絡安全是全體員工的共同責任。企業應定期為各部門提供針對性的安全培訓，特別是涉及敏感數據的崗位，並透過模擬演練與實例學習，加強應變能力，降低人為錯誤。
強化技術保護措施 ﹕企業應落實關鍵的網絡安全技術，包括：
- 電郵保安與存取權限管控
- 資料保護措施（如加密與備份）
- 遠端存取保安機制（如VPN、身份驗證）
- 主動式安全方案（如入侵偵測、防火牆監控）

同時應定期進行滲透測試與風險評估，涵蓋供應鏈合作夥伴、外判系統及業務平台，持續強化整體防禦能力。

在面對日益複雜的網絡威脅及不斷演進的攻擊技術時，協助中小企業有效部署網絡安全防護已成為社會各界的重要責任。除設有24小時事故報告及支援熱線外，HKCERT亦負責持續監測本地網絡活動，並於偵測到針對香港的網絡攻擊時，主動追蹤及打擊源頭和適時發放公眾警報，近年來，HKCERT更運用自身研發的AI系統，預先打擊釣魚網站，防患於未然。為加強中小企的預防措施及推廣教育，HKCERT針對新興科技風險發布多份安全指引，協助技術人員了解並採取合適的保安策略；同時，透過專題網頁詳細解析嚴重的釣魚及勒索軟件攻擊，每年舉辦大型公眾活動及參與超過三十場研討會，積極推廣網絡安全意識。

去年起，HKCERT更進一步擔任中小企業與業界網安服務供應商之間的橋樑，攜手數字政策辦公室推出「網絡安全服務供應商聯動計劃」。該計劃透過一站式平台，匯聚21家通過審核的網安服務商，提供防護、評估、應變及培訓四大範疇的網安服務，有效協助中小企快速配對最合適的解決方案，提升其整體防禦能力。未來，該計劃將持續優化服務內容，推動資源共享，與業界攜手構建更安全的數碼營商環境。

Hashtag: #HKCERT

發佈者對本公告的內容承擔全部責任

關於香港網絡安全事故協調中心

由香港生產力促進局管理的香港網絡安全事故協調中心，是本港的資訊保安事故協調中心，為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務，及提高保安意識。

本中心聯絡本地的組織，負責收集、發放訊息及協調保安事故應變行動。HKCERT 亦是全球保安事故協調中心組織 (Forum of Incident Response and Security Teams, FIRST) 及亞太區電腦保安事故協調中心組織 (Asia Pacific Computer Emergency Response Teams, APCERT) 的成員，與其他協調中心在跨境資訊保安事故上，交換情報和保持聯繫。

關於香港生產力促進局
香港生產力促進局（生產力局）是於1967年成立的法定機構，致力以世界級的應用研發、科技服務與綜合製造服務推動香港企業提升生產力與競爭優勢。作為以市場為導向的國際新型研發機構，生產力局憑藉在人工智能、先進製造、生命健康、綠色科技及新能源等前沿領域的深厚實力和豐富產業經驗，以創新科技引領新型工業化，推動新興及未來產業發展。

生產力局以解決企業痛點和產業發展技術需求為核心，推動科技創新和產業創新深度融合，透過技術轉移、產品創新、知識產權保護及研發成果商品化，強化與本地工商界及國際頂尖研發機構的協作，為產業創優增值，促進新質生產力發展。多年來，生產力局的卓越研發成果屢獲本地、内地及海外獎項殊榮，持續助力香港成為國際創新科技中心及智慧城市。

為協助企業善用香港的國際化優勢拓展全球市場，生產力局提供產品、技術、製造及管理等關鍵需求的綜合出海服務，助力企業通過香港成功出海。

生產力局亦致力為中小企和初創企業提供即時和適切的支援，協助企業善用政府資助計劃，並透過未來技能發展課程，促進企業及學界掌握最新數碼及STEM技術，為香港培育具競爭力的未來人才。

如欲瞭解更多詳情，請瀏覽生產力局網頁：www.hkpc.org。