港企應對勒索軟件仍有不足！做好備份才是應對之道

全球每天平均發生 700 萬次網絡攻擊，香港作為國際金融中心，風險更加不容忽視；而本地企業廣泛應用科技處理數據，一旦受到網絡攻擊，會加劇受黑客入侵和惡意軟件攻擊的風險，有機會造成重大的金錢損失及聲譽損害。近日商業軟件聯盟 (BSA) 和香港大學社會科學研究中心 (HKUSSRC) 便進行了關於勒索軟件攻擊及雲端就緒的調查，結果揭示香港企業遭受勒索軟件攻擊的情況、企業如何進行數據備份以及對雲端應用的意識水平。

調查分兩個階段進行，以電話隨機抽樣訪問了本港公司及企業，尤其是中小型企業的資訊科技專業人士。首次調查於本年 3 月至 4 月期間，即「WannaCrypt」大型勒索軟件攻擊事件之前進行，並成功訪問 255 家企業；跟進調查於 6 月至 7 月期間，即 「WannaCrypt」事件之後進行，並再次訪問首次調查中的 101 家企業。

調查結果指出，約兩成香港企業一個月少於一次或從來沒有進行定期數據備份。雖然部分公司於「WannaCrypt」事件之後更頻繁地執行備份，但不少公司仍然採用傳統方案備份數據，未有採用安全而有效的雲端方案備份，同時也顯示香港企業缺乏對雲端技術如何提升整體網絡保安方案的認識。

具有數據備份的意識非常重要，但採取切實可行的步驟，可能包括利用公共雲端服務執行公司範圍以外的安全備份卻是另一回事。本地條例一直確保個人資料受到安全保護，免受未經授權或意外的查閱、處理、刪除、喪失或使用所影響。新的歐盟數據保護法《一般數據保護規則》（General Data Protection Regulation）亦將於 2018 年 5 月在歐盟生效，包括對不遵守規例的企業作出更嚴厲制裁（最高罰款額將高達企業全球營業額的 4％ 或 2,000 萬歐元，以較高者為準）及面對風險時需要負上更大的責任。因此，企業必需採取公司範圍以外的安全備份保安方案，可能包括使用公共雲端，並需審慎選擇可靠的雲端服務供應商提供數據備份服務。

企業在選擇可靠的雲端服務供應商時，應考慮供應商對四個重要準則的承諾—私隱保護、安全性、合規性和透明度；同時企業亦可參考國際標準，如 ISO 27018、ISO 27017、ISO 27001 及其他本地標準，並審視供應商是否符合這些標準。由於網絡攻擊猖獗及商業用戶難以時刻自行更新保安防備方案防禦攻擊，相信雲端服務能夠為商業用戶帶來高成本效益而可行的方案。

其他調查結果包括：

-基線調查中的 10.9％ 受訪企業曾遭受勒索軟件攻擊：而於跟進調查當中，101 家公司中有 4 家（3.6％） 企業於過去三個月內曾遭受勒索軟件攻擊。
-超過一半的受訪企業表示擔心其數據會在勒索軟件攻擊時處於風險：基線調查中 56.5％ 的受訪企業表示非常擔心或擔心其數據處於風險中（跟進調查：51.9％）。
-數據備份扮演著非常重要的角色：大部分受訪企業認為進行數據備份對於其企業非常重要或重要（基線調查：87.9％；跟進調查：93.4％）。
-在跟進調查中，受訪企業進行數據備份的頻率顯著增加：每週超過 3 次（基線調查：33.5％；跟進調查：41.4％）。
-受訪人士具有公共雲端數據備份服務意識及其公司是否有採用雲端數據備份服務：大部分受訪人士具公共雲端的數據備份服務的意識（基線調查：85.2％；跟進調查： 93.4％）。
-受訪企業使用公共雲端服務進行數據備份的最主要原因是方便及易於共享存取數據，也是愈來愈多企業的一貫做法。
-受訪企業不使用公共雲端服務進行數據備份的最主要原因是基於安全性問題的考慮。