中小企對應網絡安全威脅 | 文章 – 滙豐機滙

馬國鈞 ACCA香港分會中小企委員會委員

視野  ·    ·  3 mins read

網絡攻擊日新月異,被攻擊的對象並不限於政府和大型企業,近年,中小型企業被黑客攻擊而遭致損失亦屢見不鮮。相對於大型企業,中小企能投入的資源相對有限,但如果在一些關鍵領域多加留意並採取防護措施,資訊安全風險可以得到控制。以下是就近期數個資訊安全的熱門話題作出一些分析和建議。

在家工作的資訊安全措施

近月來不同的事件(如新型冠狀肺炎),令「在家工作」成為本地普遍採用的應急措施,員工可使用電腦遠程登入企業系統工作,令日常運作的影響減至最低。但在開放遠程登入功能時,如不適當實施安全的措施,這些遠程登入功能會變成安全漏洞,黑客能輕易取得企業敏感資訊。企業應適當地制定在家工作的系統安排,像安裝VPN (虛擬私人網絡)把資料傳送加密、登入時實施雙重認證、避免使用免費的網上儲存空間、呼籲員工避免使用公共的無線網絡登入公司內網等等,把在家工作的安全風險減低。

使用雲端服務的安全性和可靠性

現在巿場上有不少雲端服務供應商為各大小企業提供不同的網絡應用服務,簡單的像雲端儲存空間、桌上軟件,到複雜至企業資源管理系統,都有雲端版本。其以用量和定期訂購的方式,令中小企可以用商宜的價錢使用以往大型企業才能享用的電腦服務,又可以減少在購買和維護伺服器系統的成本。然而,在選擇雲端服務供應商時,除了在服務水平、系統功能、商務條款上考量外,在資訊安全方面亦需要小心謹慎地評估。一般而言,在安全上較為可靠的雲端服務供應商都會找獨立資訊安全或內控審計(例如 SOC2或 ISAE3402報告)或取得資訊安全認證(例如 ISO/IEC27001),以證明其服務平台達到一定的安全水平。另外,企業在實施雲端服務時,亦要留意相關的安全控制措施,像密碼控制、雙重認證、數據加密、用戶權跟、資料備份等,要適當地設定,並定期進行安全審計,以保障日後的運作安全。

留意BEC (Business E-Mail Compromise)的威脅

近年來的網絡安全事故,除了勒索軟件 (Ransomware)外,BEC 是令企業損失重大金錢的網絡詐騙的手段。黑客往往在不同的渠道,像社交網站、討論區等地方,調查目標企業的組織架構和某些重要流程(如財務流程),對目標人物發送虛假電郵,企圖扮演企業內高級管理人員的身份,要求目標人物匯款到海外戶口,從而導致嚴重的損失。有研究顯示,單次BEC導致的損失可過百萬元以上。就此,企業可以一方面在巿場上選購一些有BEC 防護的電郵安全產品,減少企業受到BEC威脅。除此之外,企業亦應考慮定期為員工進行資訊安全培訓,以提高BEC 、勒索軟件等電郵及網絡攻擊的警覺性。同時應制定資訊安全應變計劃,令員工在資訊安全事故發生時能迅速作出對應。

除此之外,企業亦應多加留意一些電腦系統的基本安全控制,例如定期更新軟件、更新防毒軟件的病毒資料庫,制定相關的安全制度和策略,及多加留意近期資訊安全的報導,作出相應預防。這樣,企業安全便合理地保障,減低損失機會,避免日常運作受到影響。

ACCA Hong Kong
ACCA Hong Kong