HKIRC與香港警務處攜手合辦《釣魚電郵演習2023》

逾萬僱員參與創新高 提升業界網絡安全意識

香港2023年8月2日 /美通社/ -- 香港互聯網註冊管理有限公司（HKIRC）聯同香港警務處網絡安全及科技罪案調查科合作舉辦的「釣魚電郵演習2023」已經完滿結束。日前於警察總部警政大樓舉行發布會，分享演習的成果。是次演習是首次由HKIRC及警方攜手合辦，參與的機構數量和員工人數都得以提高，計劃規模較去年增加近兩倍，共有185機構，共10,326名員工參與演習，特別是得到中小企的積極參與，顯示有效提升業界的關注，令人鼓舞。

HKIRC行政總裁黃家偉工程師指出：「對於能夠令演習的參與人數倍增，我們感到非常滿意，反映出推廣和宣傳工作取得了積極效果。過去，HKIRC一直致力推動香港成為一個更安全的互聯網環境，並與警方及其他合作伙伴定期舉辦網絡安全研討會。單在去年，HKIRC所推出的『網絡安全員工培訓平台』（Cybersec Training Hub），為中小企提供免費網上資源，協助機構提升員工的網絡安全意識，在短短一年間已成功培訓超過8萬位用戶。」

一成六參加者點擊釣魚電郵 「視像會議邀請」最易令人上當

參與是次演習的機構員工，會在一個月內收到共五封不同主題的模擬釣魚電郵，包括「訂閱AI聊天機械人服務」、「視像會議邀請」、「電郵帳戶身分驗證」、「外賣平台問卷調查」及「IT部門核實密碼請求」，參加者如果點擊了電郵連結進入預設的網站，便會視為「上釣」，即是遭受釣魚攻擊。當中有近一成六的參加者點擊了至少一封電郵連結，而在這些參加者中，有近三成開啟了多於一封電郵的連結，顯示他們在網絡安全意識方面還有進一步提升的空間；而在機構層面方面上，185間參與演習的機構中，有六成一的機構至少有一名員工點擊了電郵連結。

而在是次演習中，點擊率最高的電郵是「視像會議邀請」郵件，達到7.3%。網罪科高級警司林焯豪指：「相信大部分參加者的日常工作也會接收視像會議連結的電郵，對有關電郵戒心較低；其次是『訂閱AI聊天機械人』及『IT部門核實密碼請求』電郵，兩封電郵的點擊率同樣是5.6%。這也不難理解，白領一族逐漸開始使用AI聊天機械人輔助日常工作，而他們對看似由公司內部發出的郵件的戒心也相對較低。」

電郵騙案數字持續滑落 基層高層均不宜鬆懈

根據警方公布的數字，過去五年，本港電郵騙案數字持續下降，由2018年894宗案件輾轉回落至去年391宗（-56%），損失亦由2019年頂峰的 $25.3億元大幅減少七成至去年$7.5億元。而今年首5個月，電郵騙案數字繼續滑落，錄得共71宗案件，比去年同期155宗下跌超過一半（-54.2%），損失更大幅減少近九成至$5000萬元。

黃家偉續稱：「儘管是次演習的表現有所改善，我們還是需要繼續努力，六成一的機構受到模擬網絡釣魚攻擊顯示仍然有很大的進步空間，因此我們還需要藉著釣魚演習等來提醒中小企。」從是次演習的結果可見，基層員工普遍認為他們所持有的數據並不重要，網絡安全只是屬於高層的責任，然而，黑客向來取易不取難，攻擊者可能透過基本員工的帳戶潛伏，慢慢擴大攻擊範圍，偷取其他機密數據。

事實上，騙徒往往會從大家的日常生活中著手，例如近期常見的釣魚短訊。在發布會上，中國移動香港有限公司董事兼行政總裁的李帆風先生就分享道：「公司現時會根據警方分享可疑網頁列表，在用戶點擊相關連結時會發出提醒。但單計公司旗下用戶在上星期的數據顯示，列表上4千多個網頁平均每日都有超過100萬次的訪問次數，情況較想像中更為嚴峻。」

黃家偉總結指：「面對日新月異的釣魚攻擊，要做好防禦工作，需要每個人都主動多走一步。不僅只是高層，更是全公司員工的責任，尤其面對釣魚攻擊的『零信任原則』不可忽視，建議機構提供或尋找培訓來加強對基本員工的網絡安全意識培訓，在入職時給予培訓及每年定期重溫。透過這些培訓，員工可以學習如何辨識釣魚郵件，如何報告可疑的郵件或行為，以及如何遵守『零信任原則』，提高員工的警覺性和安全意識。」

HKIRC推免費培訓平台 助業界認識網絡安全

HKIRC推出的Cybersec Training Hub為一個免費培訓平台，用戶只需記住簡易網址cyberhub.hk，即可為員工靈活安排接受培訓時間，例如入職時便可以依照平台的指引進行自助培訓。培訓平台的內容趣味性與實用性兼備，並且有本地數據和案例，貼近現實工作環境，確保員工獲得最基本的網絡安全意識和技能。此外，該平台的培訓內容設計得非常易於理解，即使是沒有IT技能背景的員工也能參與。

通過Cybersec Training Hub的培訓，員工可以進行小測試，測試完成並且合格後，便可獲得電子證書乙張。電子證書有助於企業評估員工的網絡安全認知和技能，增強企業維護網絡安全的信心。此外，透過這樣的培訓平台，企業可以擴大員工受培訓基數，從最根本的源頭做起，保障公司的網絡安全。

關於香港互聯網註冊管理有限公司

香港互聯網註冊管理有限公司 (HKIRC) 為香港特別行政區政府指定的非利潤分配、非法定擔保有限公司，專責從事香港地區頂級域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登記類別包括英文的.com.hk、.org.hk、 .net.hk、.edu.hk、.gov.hk、.idv.hk、.hk，及中文的.公司.香港、.組織.香港、.網絡.香港、.教育.香港、.政府.香港、.個人.香港、.香港，和將會在香港推出其他相關域名的服務。