波新聞─文浩良/香港
香港網路安全事故協調中心(HKCERT)今日舉行〝香港網路安全展望 2025〞暨〝物聯網數字顯示屏保安研究報告〞傳媒簡介會,總結 2024年香港網路安全狀況並發佈 2025年網路安全預測,簡介會指出供應商安全性不穩及AI生成內容被騎劫將成為香港網路安全的主要風險;HKCERT同時發佈〝物聯網數字顯示屏保安研究報告〞,報告顯示數字顯示屏或成攻擊目標,這新型保安漏洞正時刻威脅企業及個人安全,情況值得關注,各界應做足夠的網路保安措施防患於未然。
HKCERT在2024年共處理 12,536 宗保安事故,其中網路釣魚占整體個案超過一半(7,811宗,占62%),對比2023年上升108%,數字錄四位元數增加(共增加4,059宗) ,情況為五年來最嚴重。與網路釣魚相關的連結更超過48,000條,較去年多出1.5倍。網路釣魚主要集中在銀行、金融及電子支付行業,其次是社交媒體、即時通訊軟體、電子商貿、科技企業及公共服務。惡意軟體的數量於2024年也顯著上升,按年增幅高達4.8倍,大部份處理的惡意軟體個案均是針對智慧裝置的木馬程式,假裝成正常的應用程式誘導用戶安裝。
生產力局數碼轉型部總經理兼HKCERT發言人陳仲文工程師表示:〝駭客取易不取難,轉向經協力廠商如供應商、承包商或服務提供者進行突破。關鍵基礎設施如能源、海陸空交通、銀行、醫療保健都有機會受攻擊。不管是低空經濟中的無人機,還是數字顯示屏等物聯網裝置均有機會遇襲,影響嚴重。企業和個人需要作好準備,除制定適當的網路事故應變措施,配置適當的網路安全措施,還要定期進行保安審計及滲透測試,整體認識有關風險並做好預防措施。〞
2025年必須留意的五大網路安全風險:
HKCERT根據自身資料及威脅情報進行研究和分析,及邀請不同行業和崗位的香港和海外網路安全專家進行問卷調查,歸納出2025年須留意的五大網路安全風險。
第三方風險上升:供應商、承包商或服務提供者等第三方風險可能帶來嚴重後果,如引發法律訴訟、賠償。協力廠商電腦軟體、應用程式及開源程式碼等的網路安全性漏洞也可能導致網路攻擊和資料洩漏。第三方風險還可能導致供應鏈攻擊。駭客入侵合作夥伴來獲取對目標企業系統的存取權限。
大型語言模型資料外泄與投毒風險:大型語言模型面臨著資料洩露和被投毒的風險:提示攻擊(Prompt Hacking)通過設計和操縱輸入提示(Prompt)來誤導大型語言模型來輸出受限制的資訊;對抗性攻擊(Adversarial Attack)通過操控訓練資料來影響模型日後的判斷。
人工智慧(AI)助長網路攻擊及詐騙:許多駭客熱衷於討論如何越獄生成式AI – ChatGPT,以生成被限制的內容,例如製作惡意軟體和釣魚訊息等。犯罪設計的GPT反映AI武器化仍然是一個安全風險。
關鍵基礎設施網路攻擊增加:全球的關鍵基礎設施均有受到惡意網路攻擊的風險。2024年全球針對關鍵基礎設施的網路攻擊頻繁發生,其中香港的醫院也曾遭受勒索軟體的攻擊。
物聯網(IoT)技術的安全風險:物聯網裝置已經涉獵我們日常生活的各個範疇中,如數字顯示屏、無人機、智慧家居裝置等,但如網路安全措施不足,會極容易遭到駭客入侵。HKCERT發現市面上可供購置的數字顯示屏存在常見的保安風險,有機會被駭客發動IoT攻擊。
數字顯示屏無處不在 接近四成受訪機構未事先為數字顯示屏進行風險評估
針對以上五大網路保安風險,HKCERT去年七月至九月期間進行物聯網數字顯示屏網路安全意識調查,以電話訪問624間企業,涵蓋零售和旅遊、資訊和通訊技術、公共關係、金融服務、專業服務及非牟利機構、學校等不同行業,以瞭解及分析機構對使用數字顯示屏及IoT的網路安全意識,活動同日發佈〝物聯網數字顯示屏保安研究報告〞及分享保安建議,借此呼籲提高用戶安全意識。
現時數字顯示屏除了安裝在商場、車站和升降機外,通過數字顯示屏進行顧客互動的數碼廣告和電子餐單等也日趨普及,這些裝置背後的潛在風險也隨之增加。調查發現,即使多數受訪用戶相當關注數字顯示屏的安全,仍然有39%受訪機構不會事先為顯示幕進行網路安全風險評估以應對相關風險。HKCERT認為有需要向數字顯示屏使用者就潛在保安風險作出提醒,並就相關IoT裝置的應用提供保安建議,讓用戶安心使用以防駭客攻擊。
調查結果揭示至少10個高風險嚴重漏洞
為識別常見數字顯示屏中的潛在風險並提供保安建議,HKCERT去年對八種不同品牌的數字顯示屏進行研究。研究共發現20個漏洞,其中10個屬高風險級別,急需堵塞漏洞。HKCERT還即場示範常見的物聯網攻擊,最快只需三秒就能取得顯示幕的控制權。
陳仲文工程師指:〝數字顯示屏數量多、影響力廣,其應用遍佈各行各業及生活上衣食住行的不同範疇,一旦遭受網路攻擊,其後果可能是災難性的。在攻擊變得恒常化和系統化之前,我們有需要向公眾警告有關風險,提升大家的安全意識和防範能力。因此,HKCERT提出六點建議,旨在説明公眾抵禦網路攻擊,保障數字顯示屏能安全運作。〞
HKCERT提出六點保安建議:
系統及軟體保安:停用不需要的軟體及服務,確保程式碼庫更新,使用高強度密碼雜湊,並定期更新系統和軟體
網路保安:使用加密協定 (例如: HTTPS) ,啟用系統防火牆
實體保安:停用 USB 自動運行和自動播放,限制實體操作介面
制定資料保護政策:定期備份資料
安全內容管理:實施審核程式,監控內容完整性
安全帳戶管理:實施高強度密碼及多重認證功能,採取最小許可權原則
