個人電腦及產品監理署調查揭露香港中小企業網路安全管治缺陷

PCPD調查結果：五個關鍵治理缺陷

PCPD的調查發現了五個主要治理缺陷：

• 帳戶生命週期管理效率低下

休眠帳戶保持活躍狀態超過 13 年，沒有多重身份驗證 (MFA)、登入鎖定或定期審查。

• 過時的安全基礎設施

防火牆和防毒軟體已經過時，沒有入侵偵測、安全資訊和事件管理 (SIEM) 或異常監控功能。

• 不支援的作業系統

伺服器運行的作業系統版本已超過四年未受支持，導致可利用的漏洞未修復。

• 缺乏政策和事件回應框架

該公司缺乏關於帳戶控制、密碼強度、修補週期或違規通知協議的書面安全策略。

• 缺乏風險評估和獨立審計

沒有結構。安全風險評估與審計（SRAA）或者進行了第三方審查，導致風險在違規事件發生後才被發現。

教訓：香港企業必須遵循的五項原則

這次事件暴露了香港中小企業普遍存在的系統性缺陷。為增強網路安全韌性，企業應：

• 規範身分和存取控制

1. 為前員工帳戶實施停用工作流程
2. 強制執行多因素身份驗證和基於異常的登入監控

• 將獨立審計制度化

1. 至少每年進行一次SRAA
2. 符號資料處理協定 (DPA)與供應商溝通並驗證其安全控制措施

• 建立修補程式和漏洞管理程序

1. 立即更換所有不支援的系統
2. 部署持續掃描、修復追蹤和修補程式驗證

• 採用國際標準和基準

1. 認證ISO/IEC 27001 資訊安全管理系統 (ISMS)
2. 領養一隻7 2小時違規通知標準符合 GDPR 最佳實踐

• 將網路安全融入企業文化

1. 定期安全意識培訓致各級員工
2. 透過以下方式指定董事會層級的監督：資訊安全委員會

深度分析：中小企業必須避免的三大迷思

• 誤解一：“我們不是科技公司，所以攻擊者不會以我們為目標。”

現實：香港警方數據顯示，48%的網路攻擊影響零售、醫療保健和製造業企業。
洞察力：任何持有個人資料的組織都可能成為攻擊目標。

• 迷思二：“防火牆和防毒軟體就足夠了。”

現實：受影響的公司依賴過時的周界工具，且沒有進行監控，這導致了側向入侵。
洞察力：部署 SIEM/XDR、漏洞掃描和例行滲透測試。

• 誤解三：“網路安全只是IT部門的責任。”

現實：監管制度（PDPO、GDPR、DORA）強調董事會問責制，高階主管承擔個人責任。
洞察力：將網路安全納入企業風險治理體系，並由董事會監督。

要點：網路安全不僅僅是一種技術控制，它更是企業治理的實踐。

常見問題 (FAQ)

• 問題1：資料量較小的中小企業還需要ISO 27001認證嗎？

答：是的。 ISO/IEC 27001 著重於風險管理和治理，而不僅僅是資料量。

• Q2：PCPD是否強制規定違規通知時限？

答：沒有法定時間表，但最佳實務是72小時報告窗口符合GDPR要求。

• Q3：每年進行一次滲透測試是否足夠？

答：不總是如此。頻繁升級的環境需要額外的滲透測試此外，還會進行持續的漏洞掃描。

結論：資料外洩是治理壓力測試

這個案例表明，如果沒有訪問管理、風險評估和事件回應計劃基本的IT防禦措施是無效的。

為維護信任，香港企業應採取ISO/IEC 27001、SRAA、PIA 和滲透測試作為統一治理和技術防禦框架的一部分。

DQS HK 的關聯服務

• 安全風險評估與審計（SRAA）
• 隱私影響評估 (PIA)
• ISO 27001認證
• 滲透測試
• 安全事件回應 (IR)
• 安全意識培訓