2025 年 10 月中旬,澳洲航空公司(Qantas Airways) 確認遭遇大規模網絡攻擊,導致超過 500 萬名客戶個人資料被竊取。根據香港電腦保安事故協調中心(HKCERT) 公佈的資料,約有 2 萬名香港客戶 涉及其中,成為另一宗跨境資料私隱風險的警號。
外洩的資料包括姓名、電子郵件、電話號碼、住址及常旅客會員編號。雖然 Qantas 指出未發現信用卡或密碼外洩,但事件仍引起全球關注。
調查顯示,攻擊源自一間 第三方服務供應商 的系統遭入侵,黑客再以此滲透 Qantas 的客戶平台。
現今企業廣泛依賴雲端平台、外判供應商及數碼合作夥伴來管理客戶資料。這種連結雖提高營運效率,卻同時擴大了攻擊面。只要供應鏈中任何一個環節出現漏洞,就可能危及整個系統。
近年在香港,多宗網絡事故均與「第三方風險」有關,例如:
這些事件共同反映出:企業的資訊保安強度,只能與其最弱的合作夥伴一樣。
面對愈趨複雜的供應鏈風險,越來越多香港企業開始重視資訊安全管理體系認證(ISMS Certification)。這不只是合規標誌,而是一套系統化的防禦框架,協助企業持續識別、修補及預防潛在風險。
以下幾項安全措施與認證制度,與今次事件關聯度最高:
建立制度化的風險識別、權限管理與持續改進機制,適用於處理客戶或合作夥伴資料的各類企業。
模擬真實入侵情境,找出系統或第三方接口中的潛在漏洞。若能定期進行滲透測試,往往可在黑客行動前就發現問題。
審查供應商及外判商的網絡安全成熟度,防止「一個弱環節拖垮整個品牌」。
不少資料外洩源於釣魚電郵或社交工程攻擊。員工與合作夥伴的培訓可有效辨識可疑郵件與假網站。
香港政府在 2025 年 10 月舉辦的「Cybersecurity Attack and Defence Drill 2025」正好說明:真正的韌性,不在事後聲明,而在事前準備。
作為國際金融及物流樞紐,香港企業每日與中國內地、東南亞及歐美市場共享大量數據。這令香港在全球網絡安全鏈中處於關鍵位置。在 Qantas 事件中,雖然受影響的香港客戶僅佔少數(約 2 萬人),卻突顯了香港與全球系統的緊密聯繫。
根據 HKCERT 數據,2025 年上半年香港平均每月錄得 超過 8,000 宗網絡安全事故,按年上升 15%。其中超過一半涉及供應鏈或第三方系統漏洞。這代表本地企業必須從「單一系統思維」轉向「生態安全思維」。
評估合作供應商的安全措施及認證狀況。
在系統更新、雲端遷移或軟件更換後即時測試。
明確通報流程、責任分工與復原計劃。
提升對釣魚及社交工程攻擊的防範意識。
包括 ISO 27001、SOC 2 Type II、GDPR 合規評估等,以強化信任與市場競爭力。
Qantas 資料外洩事件再次提醒香港企業:網絡安全不是成本,而是信任的資本。
當客戶信任、品牌聲譽與監管要求緊密相連,一次資料外洩便足以造成無法挽回的損害。建立具認證、可審核、持續改進的資訊安全體系,不僅是符合法規,更是未來企業競爭力的根基。
在我們所做的每一項工作中,我們始終堅持最高的質量和專業標準。這不僅使我們的行動成為行業標杆,也成為我們不斷精進和堅守的使命。
