84 解決之道,通過對「無知網民」進行教育,提高其警惕性,是其中一個有效的方法,但 知易行難,因為「無知」的人往往以為自己「有知」,沒有把忠告放在心坎裏。例如一 些存放了大量客戶信息的企業,只因其內部個別員工的網絡保安意識不足,便釀成系統 保安漏洞,讓黑客有可乘之機入侵,把客戶資料予取予攜,類似的案件屢見不鮮。 誠然,各國政府已愈來愈提倡推出一些保護網絡安全的措施,如金管局於 2016 年推 出「網絡防衞計劃」,以提升香港銀行的網絡防衞能力,至 2020 年 11 月再推「網絡 防衞計劃 2.0」版。計劃當中的「網絡防衞評估框架」(Cyber Resilience Assessment Framework),是一個以風險為本的框架,讓銀行根據這個框架,評估本身的風險狀 況,以定出適當防範網絡攻擊的防禦措施。 事實上,要求企業或機構進行風險「自我評估」,然後再作出防範風險的應對措施,這 類網絡保安措施和構思並非新鮮,而是沿用一直以來在商業世界裏的「風險管理」概 念,從風險發現、評估,繼而作出應對管理,這是全球性的通行做法。 員工缺風險意識 企業防不勝防 然而,潛在的風險在未發生前,往往未被保安系統辨識出來,例如異國情緣的因素,網 絡保安系統就不容易事前發現、識別出來。可能只因機構內部一名員工,在網上交友 過程中警惕不足,一不小心,讓認識不深的網絡朋友製造了一個入侵公司電腦系統的缺 口。因此,即使風險系統有辦法針對機構有多少個員工、有甚麼服務產品,相對作出了 一些保衞措施,但不能保證公司每個員工都有足夠對保安風險的認識,形成「防不勝 防」的保安漏洞。 歸根究底,網絡防衞的關鍵,在於用戶不清晰或不在意自身在網絡保安上的角色,對公 司電腦安全系統的保安意識也不足夠。筆者研究網絡保安多年,一直提倡機構不僅需要 教育員工對互聯網保安的認知,還需要政府、機構以至僱員各方在網絡保安上的角色分 配和風險分擔,而不是由一方來單獨應對。 增第三方服務 或引入潛在風險 筆者曾提出過網絡保安「第三方」風險的概念,即企業自身的網絡系統相當安全,但當 這家企業增加了一些由外判供應商(第三方)提供的額外服務時,便有機會引入潛在的 安全風險。一旦「第三方」的安全性系統出現漏洞,黑客便可以乘虛而入,順藤摸瓜, 直闖企業的網絡系統。 3 防網絡犯罪
RkJQdWJsaXNoZXIy NDk5Njg=