调查：近七成受访企业过去一年遭网络安全攻击　98% 遇到钓鱼攻击

钓鱼攻击很常见，私隐专员公署及生产力局今日（21日）公布“香港企业网络保安准备指数及AI安全风险”调查报告，发现有69%受访企业于过去一年内曾遇到最少一类网络安全攻击，当中98%表示遇到钓鱼攻击，而最常见的模式仍是网络钓鱼电子邮件，网络钓鱼简讯亦较以往常见。

报告也指出，香港企业网络保安准备指数录得52.8点，较去年上升5.8点，但仍维持于“具基本措施”级别，反映企业仍然有很大的进步空间。员工网络保安意识的分项指数亦停留在30.9点的低位。报告提出多项建议，包括企业应定期为员工提供培训、定期进行钓鱼测试及网络安全演习等。

企业网络保安准备指数较去年升5.8点　仍有进步空间

私隐专员公署及生产力局今日公布“香港企业网络保安准备指数及AI安全风险”调查报告，结果发现，香港企业网络保安准备指数录得52.8点，较去年上升5.8点，但仍维持于“具基本措施”级别，反映企业仍然有很大的进步空间。

以企业规模做划分，中小企的网络保安准备指数达48.4点、大型企业则达73.1点，分别较去年上升4.8点及10.6点。

按行业划分，则以金融服务业的指数最高，达68.3点；零售和旅游业则最低，只有45.3点。在众多行业中，只有资讯和通讯技术业的指数下跌，较去年跌4.4点至58.9点。

钓鱼攻击最普遍　员工网络保安意识要提升

报告也指出，69%受访企业于过去一年内曾遇到最少一类网络安全攻击，当中98%表示遇到钓鱼攻击，而最常见的钓鱼攻击模式仍是网络钓鱼电子邮件，网络钓鱼简讯亦较以往常见。有企业也提到，曾遭受使用二维码的钓鱼攻击、及使用人工智能（AI）或生成式AI的钓鱼攻击等新兴的钓鱼攻击。

报告指，钓鱼攻击仍是相当棘手的问题，但企业可以透过意识教育去预防。然而，在今次调查中，员工网络保安意识的分项指数停留在30.9点的低位。与此同时，只有35%受访企业曾在过去一年内进行员工网络安全意识培训，并只有24%受访企业曾进行网络安全演习。

21%受访企业有用AI　当中不足两成有订AI相关资料外泄应变

就使用AI方面，约21%受访企业现时于营运中使用AI技术，当中约65%已经采用至少一项数据安全防护措施，但只有39%有为员工提供有关AI的培训、28%已经制订AI安全风险政策，以及16%已制订应对AI相关的资料外泄事故应变计划。

调查也发现，比起大型企业，中小企就使用AI而提供培训、制订AI安全风险政策及个人资料外泄事故应变计划的情况较不普遍：

-52%有使用AI的中小企有为员工提供AI的培训；大企的相关数字则为82%
-45%有使用AI的中小企已制订或计划制订AI安全风险政策；大企的相关数字为74%
-10%有使用AI的中小企有制订涵盖应对AI相关的个人资料外泄事故应变计划，大企则有26%

报告建议，面对较高风险的中小企应将网络准备水平提升至“具管理能力”级别。针对人员的网络安全意识，调查也提出，企业应定期为员工提供培训、定期进行钓鱼测试及网络安全演习等。

报告也强调，企业须确保安全和负责任地应用AI，包括应利用AI技术检测及识别网络安全威胁，并实施自动化应对措施、制订AI事故应变计划等。