Loading...


2020年1月
港网保安待加强专才需求趋殷切

在数码年代,网络安全已成為企业营运不能忽视的环节。但有调查指出,本港企业在保安管理、员工意识及主动性方面尚待加强。到底本港企业在网络安全方面的发展是否已上轨道?而市场又是否提供足够的相关专才呢?
 

 

香港生產力促进局发表的《SSH香港企业网络保安準备指数2019》调查报告,发现本港企业的网络保安準备程度持续改善,其中以技术控制领域的表现最為理想,反映本港企业愿意投放更多资源应对网络攻击。但报告同时指出,部分企业使用的保护措施技术较為过时,不足以应付日新月异的网络保安问题。报告建议企业可进一步加强保安管理、员工意识及主动性方面的表现,藉此应付网络保安的新威胁。

 

损失金额倍增证问题严重

谈及本港企业所面对的网络安全风险时,香港生產力促进局首席数码总监黎少斌透露,根据上述调查报告的结果,显示本港企业在过去一年遭受的网络保安攻击显着上升,当中41%的受访者表示曾受到外部攻击,而2018年只有26%。当中以钓鱼电邮(77%)、勒索软件(42%),以及其他恶意软件攻击(22%)最為常见。他相信,有关数字上升与部分黑客贩卖盗取得来的电邮帐户有关。

 

根据香港警方统计,2019年上半年的电邮诈骗案共有401宗,与去年相若,惟金钱损失却高达11.3亿港元,较2018年同期增加48%,反映问题严重。“在勒索软件以外,现时的恶意软件亦不断更新。”黎少斌说,此类软件可以在电脑潜伏一段长时间,并在互联网扩散,渗透至网络深层,或在使用者不知情下收集敏感资料,并由黑客放到地下市场贩卖图利。

 

勿為便利忽视基本保安

要有效提升网络安全成效,黎少斌直言关键在於使用者的意识和认知,尤其是对第叁方保安风险的关注。“调查显示,63%受访者便表示不知道公司如何管理给第叁方的‘特权存取’。”他建议,企业可透过採用双重认证、确保配置安全、修补保安漏洞等措施,在流程和技术层面上减少系统受到网络攻击的机会。

 

黎少斌认為,企业亦应尽力提高员工的网络安全意识,避免為方便而给予员工过多的系统权限,并小心评估合作伙伴和服务供应商的网络保安风险。他提醒,商业市场纵然争分夺秒,但企业在开发新服务和技术时,不应為追赶市场周期和便利等因素而忽视基本的资讯保安,应採用“从设计做起”的保安原则。

 

人才供不应求

要提高员工的网络安全意识,除靠管理层推动外,由专责人员把关亦有助企业降低风险。黎少斌透露,市场对网络安全专才的需求甚殷,单是亚太区便有260万个有关网络保安的空缺,所以目前的人力供应未能满足市场需求。

 

黎少斌表示,与网络安全相关的工种大致可分為叁类,包括(1)负责日常网络保安操作的管理员和保安事故回应的前綫人员;(2)协助企业设计制定和实现防御策略、标準及政策的资讯保安顾问;(3)就保安措施的执行情况进行评估和审计的人员。

 

他续指,一般而言从事网络安全的人士须取得电脑科学或相关学科的学士或硕士学位,以及资讯保安证书。而且他们亦须在保安及风险管理、网络保安/架构、软件开发保安或资讯科技保安等相关范畴,以及在互联网及网络保安方面具备一定知识。

 

持续增值 应对挑战

随着本港在金融科技和电子支付方面等发展不断加快,而物联网、人工智能及大数据等科技亦日趋普及,黎少斌预期,市场对相关人才的需求将愈来愈大,為他们带来可观的发展前景。他预计,配合智慧城市和再工业化发展,加上5G服务正式在本地大规模应用,香港未来数年将会大量採用物联网感应器和装置,因此需要更多的网络保安专家参与其中。

 

黎少斌重申,本港需要大量网络保安人才為相关系统加强防御,以抵抗网络攻击。惟他提醒,面对科技急速发展,相关人才亦须持续在不同范畴如云计算保安、渗透测试、威胁情报分析和取证等自我增值,以迎合市场的需要。