【網絡安全】善用託管式偵測及回應　解決方案告別企業數據外洩危機

近日，本港有機構發現其電腦系統遭黑客組織Trigona 入侵，並成功盜取逾400GB 的數據，包括：個人姓名、電話號碼、求職者資料及信用咭資料等。其後，黑客更勒索該機構近235 萬港元贖金，由於機構未有繳付贖金，最終Trigona 於暗網對外公開相關數據，並於社會各界引起軒然大波。

在數據主導的時代，各大機構皆需謹慎處理日常業務所收集到的數據，並需制定適切的企業數據處理機制，方能妥善保護員工和客戶的個人資料，包括：姓名、地址、電話號碼及信用卡等資料。

根據香港個人資料私隱專員公署的調查，現時大部分的網上社交平台將於不同途徑向用戶收集高達19種的用戶資料。作為社交媒體的用家之一，你是否完全了解自己曾向社交平台提供什麼資料？同樣地，各大機構又是否確切理解客戶的個人私隱權，並承擔保護其資料的責任？

不少不法之徒一直對機構所管理的個人資料虎視眈眈，並不時鎖定他們的安全漏洞，以盗取相關資料作網絡犯罪之用。以今年年初香港銀行學會的資料外洩事故為例，有調查發現多達13,000 位學會成員及100,000 位非學會成員的個人資料遭外洩及入侵，可見資料外洩事故的影響範圍極廣泛。

為了進一步打擊數據洩露事故，今年香港警方與國際刑警聯手打擊合共563個含特洛伊木馬病毒（Trojan Horse Virus）的偽冒手機應用程式，企圖冒充信譽良好的機構或應用程式，包括：銀行、金融機構、多媒體播放器和約會應用程式等，以竊取用戶個人資料為目標，並將之出售予其他不法之徒或用於違法行為。

為了確保本地法律能保障個人資料，香港早於1995 年通過《個人資料（私隱）條例》，並作為亞洲區内最早全面保障個人資料私隱的法例之一。對企業及各大規模的機構而言，他們應嚴格遵守條例，以保障員工及顧客的個人資料和權益。

同時，作為一間有規模且可靠的企業，他們亦有責任掌握所在地區的私隱資料保護守則，並積極保護並主動地客戶和員工的個人資料，以遵守日常營運的守則。透過要求企業全面遵守相關條例，企業可藉此與客戶建立信任，而香港政府亦能鞏固作為國際貿易中心的地位，以維持香港在世界舞台上的獨特優勢。

雖然大眾都理解到於網上分享個人資料的風險，但亦難以完全不採用各種方便的數碼服務。為了吸引更多用戶轉用網上服務，現時許多企業皆投放更多時間和資源於建立内部私隱守則，從而建立用戶信任且提升品牌譽。

根據現行的規定，企業需投放資源以增強系統於處理個人私隱的技術（PETs），而Sophos 作為網絡安全服務供應商，一直致力為不同規模的企業提供最先進的網絡安全解決方案，以確保其客戶個人資料的安全。

為了協助企業提升妥善處理其客戶資料，我們將有以下六項建議：

1. 加快採用具深度學習（Deep Learning）及入侵檢測效能的網絡安全技術，務求及早發現網絡攻擊，並減少黑客攻擊主要系統和數碼生態系統，以及盗取敏感數據。
2. 提升企業網絡安全系統的偵測能力，加快洞悉高風險的網絡安全活動，並於對企業的網絡構成嚴重威脅前即時阻止。
3. 為了阻止敏感的個人資料外洩，企業應為員工設立絕對存取權限，以增強數據保護的成效。
4. 加密所有電子郵件、附件中的個人身份信息（PII）和其他機密內容，以防止意外和惡意數據洩露的風險。
5. 採用具「自動雲端配置設定」分析的安全解決方案，以確保現有的技術符合規格和最佳安全標準，避免分散企業的資源。
6. 當企業系統受網絡攻擊時，自動化的動態防火牆規

步入全面數據化的新時代，不論是何等規模的企業和機構，「數據安全」於企業管治策略上扮演著不可或缺的重要角色。為了提升品牌的公信力和保護不同持份者的個人私隱，企業應立即以行動解決潛在的危機，並通過採用合適的企業網絡安全解決方案，為品牌築起能針對現今進階網絡攻擊的「最強後盾 」，以確保數據能用得其所且發揮其價值。