香港生產力促進局(生產力局)回顧過去一年網絡安全狀況,數據顯示本地網絡風險持續升溫。該機構首席數碼總監黎少斌(上圖)引述香港電腦保安事故協調中心(HKCERT)的統計指出,過去五年保安事故數字一直處於上升軌道,單在去年便處理了 9,500 宗個案,按年大幅上升 27%,創下近年新高。局方預警,展望 2026 年,人工智能(AI)將成為網絡攻防的雙刃劍,企業必須嚴防「代理式 AI(Agentic AI)」及供應鏈攻擊帶來的潛在風險。
隨著 AI 技術普及,黎少斌特別提到企業內部日益嚴重的「影子 AI」(Shadow AI)現象。許多員工因未有正視風險或誤解系統的私隱處理方式,擅自將公司機密或客戶資料輸入至公開的 AI 平台,導致敏感數據外洩。針對此問題,HKCERT 建議企業不應採取一味禁止的消極態度,而應訂立明確的管理框架與使用政策,清楚界定哪些數據可被輸入,哪些涉及個人私隱或商業機密的資料則絕對禁止。此外,局方亦鼓勵企業採購付費的「企業版」AI 服務,因這類版本通常在合約中承諾不會將用戶數據用於訓練模型,能提供較佳的資料保密性。
在供應鏈風險管理方面,隨著《保護關鍵基礎設施(電腦系統)條例》於今年初實施,受監管的八大核心行業面臨更嚴格的運作與風險管理要求。黎少斌強調,現代企業運作高度依賴雲端服務或外判 IT 支援等第三方服務,一旦供應商的保安措施不足,黑客便可利用此作為跳板攻擊企業本身。他重申工作雖然可以外判,但責任不能外判。即使因供應商出錯導致資料外洩,企業仍需向客戶及監管機構問責。
為了降低風險,HKCERT 建議企業在簽訂合約前,應要求供應商提供如 ISO 27001 等國際保安認證或第三方審計報告,確保其保安水平達標,而非單憑口頭承諾。同時,條例下的關鍵基礎設施營運者應在日常流程中採取後備方案,避免因過度依賴單一廠商而導致系統停頓。局方總結指,無論企業規模大小,均需指派專人負責網絡安全事項及 AI 治理,即使選用保安即服務(SaaS)模式,亦需有專人進行聯繫與把關,以建立全方位的防禦網。
