香港電腦緊急應變小組2025年第二季報告：香港網站竄改事件激增

第二季報告的主要發現

根據香港網路安全緊急應變小組（HKCERT）發布的2025年第二季報告，香港網路安全情勢呈現以下趨勢：

1. 網站竄改事件急遽增加- 向上168% QoQ 成為最突出的威脅。
2. 網路釣魚事件減少了12.2%。 ——這顯示攻擊者的戰術發生了轉變，儘管這種轉變仍然普遍存在。
3. 殭屍網路活動下降了14%。 —風險略有降低，但仍存在長期風險。
4. 總體事件數量下降了12.5%。 —病例總數較少，但風險較集中。

網站篡改的主要技術原因（2025 年第二季）：

1. 未修復的系統漏洞（28.4%）
2. Web應用程式缺陷（25.5%）
3. SQL注入（23.5%）
4. 伺服器入侵（13.7%）
5. 配置和管理錯誤（3.9%）
6. 文件包含漏洞（2.9%）

這些數據表明漏洞管理不足和安全編碼實踐仍然是許多香港企業面臨的關鍵弱點。

中小企業面臨的治理挑戰

香港電腦緊急應變小組強調，中小企業尤其容易受到網路安全風險的影響，主要原因如下：

1. 缺乏透明度— 識別和聯絡合格服務提供者的管道不明確。
2. 評估服務提供者有困難— 評估可靠性和合規性的挑戰。
3. 知識差距— 內部缺乏偵測和修復安全問題的專業知識。

2024年，人事及公共部門事務署與香港生產力促進局聯合進行的一項調查發現，7 1%的大型企業和69%的中小企業過去12個月內曾遭受網路攻擊。這表明網路威脅普遍存在，但由於資源限制和準備不足，中小企業面臨更大的挑戰。

企業治理路徑

第二季報告顯示，網站篡改事件激增，凸顯了漏洞管理、合規治理和彈性建設方面持續存在的差距。

正如 DQS HK 所觀察到的，許多企業仍然處於被動應對狀態——專注於事後補救——而不是建立可持續的防禦策略。

為解決此問題，企業應加強三大治理支柱：

1. 安全風險評估與審計（SRAA） — 識別暴露的資產，確定漏洞的優先級，並將資源分配給最關鍵的領域。
2. 隱私影響評估 (PIA) — 確保遵守《個人資料（私隱）條例》和即將出台的《關鍵基礎設施條例》，降低監管和聲譽風險。
3. ISO/IEC 27001 資訊安全管理體系— 建立正式的、可審計的、不斷改進的安全管理體系，從臨時性修復轉向結構化治理。

企業戰略網路安全行動

在2025年剩餘的時間裡，企業應專注於以下三個關鍵的網路安全優先事項：

1. 加強網站和應用程式安全— 對 CMS 平台、外掛程式和 Web 應用程式進行定期掃描和修補。
2. 整合治理與合規— 將 SRAA、PIA 和 ISO/IEC 27001 整合到一個統一的、長期的治理模式中。
3. 提升人才和意識— 建立員工培訓計劃，以提高對網路釣魚、惡意軟體和社會工程攻擊的偵測能力。

結論

香港教育研究與培訓委員會（HKCERT）2025年第二季報告傳遞了一個明確的訊息：事故數量減少並不等於風險降低。網站篡改事件的急劇增加表明，即使是「基本」的攻擊也會嚴重擾亂業務連續性並損害聲譽。

香港企業必須超越被動因應措施，採取積極主動的行動。積極主動、合規驅動的安全策略透過實施SRAA、PIA 和 ISO/IEC 27001透過在需要時利用外部專業知識，組織可以增強韌性，確保監管準備就緒，並與客戶和合作夥伴建立長期信任。

網路安全不是額外的成本，而是香港數位經濟競爭力和合規性的重要基礎。

DQS HK 的關聯服務

• 安全風險評估與審計（SRAA）
• ISO 27001認證
• 滲透測試
• 隱私影響評估 (PIA)
• 安全事件回應 (IR)
• 安全意識培訓