逾5.3萬名員工參與創(chuàng)新高 涵蓋電郵及短訊 提升業(yè)界網(wǎng)絡(luò)安全意識(shí)

香港2026年4月17日 /美通社/ -- 香港互聯(lián)網(wǎng)註冊(cè)管理有限公司(HKIRC)聯(lián)同香港警務(wù)處網(wǎng)絡(luò)安全及科技罪案調(diào)查科(CSTCB)及數(shù)字政策辦公室(DPO)合作舉辦的《「釣爾輕心」社交工程演習(xí) 2025》已圓滿結(jié)束。主辦方較早前於警察總部舉行成果發(fā)布會(huì)，分享演習(xí)結(jié)果及分析業(yè)界最新網(wǎng)絡(luò)安全趨勢(shì)。是次演習(xí)已踏入第三年，參與機(jī)構(gòu)數(shù)目及員工人數(shù)再創(chuàng)新高，當(dāng)中「釣魚電郵演習(xí)」共吸引超過300間機(jī)構(gòu)參與，超過53,000名僱員參加，較去年增加超過40%，反映業(yè)界普遍重視提升員工網(wǎng)絡(luò)安全意識(shí)，並積極透過演習(xí)強(qiáng)化防禦能力。今年演習(xí)新增「釣魚短訊演習(xí)」項(xiàng)目，共有超過30 間機(jī)構(gòu)，超過3,600人參與。演習(xí)涵蓋機(jī)構(gòu)提供的公司手提電話號(hào)碼，但不包括員工個(gè)人電話號(hào)碼。

釣魚電郵演習(xí)結(jié)果模擬釣魚點(diǎn)擊率上升 近半員工未能及時(shí)察覺風(fēng)險(xiǎn)

根據(jù)演習(xí)結(jié)果，今年有13.4%的員工曾點(diǎn)擊最少一條模擬釣魚電郵連結(jié)，較去年上升1.9%。值得關(guān)注的是，在曾點(diǎn)擊釣魚電郵連結(jié)的員工中，接近一半未能即時(shí)察覺潛在風(fēng)險(xiǎn)，並繼續(xù)進(jìn)行相關(guān)操作，包括上載資料或下載檔案，進(jìn)一步增加敏感資料外洩的風(fēng)險(xiǎn)，建議員工看到可疑連結(jié)時(shí)先向官方渠道二次核實(shí)。

釣魚情境越貼近日常工作越難防範(fàn)

演習(xí)中，參與者共收到四封模擬釣魚電郵，主題涵蓋「IT部門禮品贈(zèng)送」、「網(wǎng)盤文件下載通知」、「人事部門問卷調(diào)查」及「更新系統(tǒng)安全警示通知」。點(diǎn)擊行為分析顯示，含有「優(yōu)惠」、「限時(shí)」等字眼的電郵，較容易誘使收件人在未經(jīng)深思的情況下點(diǎn)擊連結(jié)。

此外，與日常辦公流程高度相似的主題，亦顯著降低員工戒心，增加回應(yīng)的可能性。結(jié)果反映，當(dāng)釣魚電郵情境貼近日常工作時(shí)，員工更難即時(shí)辨識(shí)潛在風(fēng)險(xiǎn)，凸顯持續(xù)保持警覺及培養(yǎng)「零信任」安全意識(shí)的重要性。員工應(yīng)將所有電郵與連結(jié)視為潛在風(fēng)險(xiǎn)，避免預(yù)設(shè)其可信度，才能有效降低風(fēng)險(xiǎn)。

管理層在模擬釣魚測(cè)試點(diǎn)擊率高於員工 釣魚攻擊威脅加劇

HKIRC 行政總裁黃家偉工程師表示，隨著網(wǎng)絡(luò)攻擊手法日益頻繁及精密，釣魚電郵已成為企業(yè)面臨的重大網(wǎng)絡(luò)安全威脅之一，而受害對(duì)象不僅限於一般員工，管理層同樣存在高風(fēng)險(xiǎn)。數(shù)據(jù)顯示，經(jīng)理級(jí)或以上人員的點(diǎn)擊率為15.5%，高於一般員工的13%，提醒管理層同樣需要定期培訓(xùn)，以身作則。黃家偉強(qiáng)調(diào)，管理層在機(jī)構(gòu)內(nèi)擔(dān)當(dāng)關(guān)鍵決策角色，其電郵帳號(hào)往往擁有較高系統(tǒng)權(quán)限，並能接觸敏感及具影響力的資料，一旦帳號(hào)被入侵，對(duì)機(jī)構(gòu)帶來的風(fēng)險(xiǎn)及影響將更為嚴(yán)重。

近九成機(jī)構(gòu)至少一人點(diǎn)擊模擬釣魚電郵連結(jié) 中小企風(fēng)險(xiǎn)顯著上升

從機(jī)構(gòu)層面分析，在本次演習(xí)的機(jī)構(gòu)內(nèi)，有89%（268間）至少有一名員工曾點(diǎn)擊釣魚電郵連結(jié)，較去年77%上升12%，增幅主要來自中小企。雖然相關(guān)數(shù)據(jù)會(huì)因企業(yè)規(guī)模及參與人數(shù)而有所差異，但結(jié)果再次反映釣魚電郵仍然是最容易令人「中招」的網(wǎng)絡(luò)攻擊手段之一。

因此，機(jī)構(gòu)有必要持續(xù)為員工提供網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，切勿掉以輕心。網(wǎng)絡(luò)安全事故不僅可能威脅企業(yè)的數(shù)據(jù)安全，更可引致財(cái)務(wù)損失及品牌信譽(yù)受損。透過持續(xù)教育與訓(xùn)練，確保員工能識(shí)別可疑電郵並採取適當(dāng)行動(dòng)，才能從整體上提升防禦能力。

全港首次模擬釣魚短訊演習(xí)結(jié)果

今次演習(xí)的「釣魚短訊演習(xí)」是全港首次舉辦的同類型演習(xí)，透過向參與機(jī)構(gòu)的員工公司號(hào)碼發(fā)送模擬釣魚短訊，評(píng)估員工在面對(duì)流動(dòng)通訊渠道時(shí)的警覺性及應(yīng)對(duì)能力。

結(jié)果顯示，有 5.9% 的員工點(diǎn)擊了至少一條模擬釣魚短訊連結(jié)，並且70% 的機(jī)構(gòu)至少有一名員工曾點(diǎn)擊模擬釣魚短訊連結(jié)。

雖然模擬釣魚短訊的整體點(diǎn)擊率為 5.9%，低於釣魚電郵的 13.4%，但這並不代表釣魚短訊的風(fēng)險(xiǎn)可以忽視。 與電郵相比，短訊內(nèi)容通常更簡(jiǎn)短，能提供的資訊有限，員工難以獲取足夠線索作進(jìn)一步核實(shí)；同時(shí)，短訊的發(fā)件人身份顯示有限，來源真?zhèn)胃y辨識(shí)，進(jìn)一步增加了受騙的風(fēng)險(xiǎn)，提醒員工遇到可疑連結(jié)時(shí)，務(wù)必透過官方渠道再次驗(yàn)證，以降低風(fēng)險(xiǎn)。

由上而下推行「零信任」文化

黃家偉總結(jié)時(shí)表示：「面對(duì)釣魚攻擊，不論透過任何渠道，網(wǎng)絡(luò)安全是由上而下、全公司共同承擔(dān)的責(zé)任。企業(yè)必須堅(jiān)守『零信任原則』，不能掉以輕心，並透過每年的定期培訓(xùn)及重溫，讓員工學(xué)會(huì)如何識(shí)別釣魚郵件，以及正確的舉報(bào)流程，從而提升整體警覺性及安全意識(shí)。」

HKIRC 推出 Cybersec Training Hub，為企業(yè)及機(jī)構(gòu)提供免費(fèi)的網(wǎng)絡(luò)安全培訓(xùn)平臺(tái)。課程設(shè)計(jì)貼近日常工作場(chǎng)景，內(nèi)容實(shí)用，幫助員工建立基本的網(wǎng)絡(luò)安全知識(shí)與技能。完成測(cè)試並達(dá)到合格要求的學(xué)員可獲電子證書，協(xié)助企業(yè)評(píng)估員工的安全認(rèn)知水平，並增強(qiáng)對(duì)整體防護(hù)能力的信心。透過 Cybersec Training Hub，企業(yè)能擴(kuò)大培訓(xùn)覆蓋範(fàn)圍，從源頭加強(qiáng)防禦，為長遠(yuǎn)的網(wǎng)絡(luò)安全奠定穩(wěn)固基礎(chǔ)。

Cybersec Training Hub 平臺(tái)重點(diǎn)

• 完全免費(fèi)：所有培訓(xùn)課程均可免費(fèi)參加。
• 無需技術(shù)背景：適合所有員工，無論是否具備 IT 專業(yè)知識(shí)。
• 貼近工作情境：課程設(shè)計(jì)以日常工作場(chǎng)景為基礎(chǔ)，實(shí)用性高。
• 電子證書：完成測(cè)試並達(dá)到合格要求即可獲發(fā)證書，方便企業(yè)評(píng)估員工安全認(rèn)知水平。
• 持續(xù)更新：培訓(xùn)內(nèi)容會(huì)不斷更新，涵蓋最新的網(wǎng)絡(luò)安全議題。

官方網(wǎng)站參加培訓(xùn)：Cybersec Training Hub

透過這個(gè)平臺(tái)，企業(yè)能擴(kuò)大培訓(xùn)覆蓋範(fàn)圍，確保每位員工都具備基本的網(wǎng)絡(luò)安全知識(shí)，為公司長遠(yuǎn)的防護(hù)能力奠定穩(wěn)固基礎(chǔ)。

另外，為提高企業(yè)整體防護(hù)能力，可參加由 DPO，HKIRC 與 國際信息系統(tǒng)審計(jì)協(xié)會(huì)中國香港分會(huì) (ISACA)合辦的「共建員工防火牆」嘉許計(jì)劃。此計(jì)劃旨在推動(dòng)企業(yè)建立人力防火牆，全面提升員工的網(wǎng)絡(luò)安全意識(shí)。參與機(jī)構(gòu)可獲不同級(jí)別的認(rèn)可獎(jiǎng)座，彰顯其在培訓(xùn)與防護(hù)上的努力，並向外界展示企業(yè)在網(wǎng)絡(luò)安全上的承擔(dān)與決心。

參與機(jī)構(gòu)需在過去 12 個(gè)月內(nèi)達(dá)到以下條件：

• 員工培訓(xùn)：至少 50% 員工完成網(wǎng)絡(luò)安全培訓(xùn)（如 Cybersec Training Hub）。
• 釣魚演習(xí)：?jiǎn)T工至少參與一次釣魚電郵演習(xí)。
• 政策架構(gòu)：建立全面的網(wǎng)絡(luò)安全政策，涵蓋遠(yuǎn)程工作、AI 使用指引等。
• 報(bào)告渠道：設(shè)立有效途徑，讓員工能舉報(bào)可疑或惡意電郵。
• 資訊共享：積極參與網(wǎng)絡(luò)安全資訊共享平臺(tái)（如 Cybersec Infohub）。
• 風(fēng)險(xiǎn)評(píng)估：每年至少進(jìn)行一次網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。

立即參加: 「共建員工防火牆」嘉許計(jì)劃

– 完 –

關(guān)於香港互聯(lián)網(wǎng)註冊(cè)管理有限公司
香港互聯(lián)網(wǎng)註冊(cè)管理有限公司 (HKIRC) 為香港特別行政區(qū)政府指定的非利潤分配、非法定擔(dān)保有限公司，專責(zé)從事香港地區(qū)頂級(jí)域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登記類別包括英文.com.hk、.org.hk、.net.hk、.edu.hk、.gov.hk、.idv.hk、.hk，及中文的.公司.香港、.組織.香港、.網(wǎng)絡(luò).香港、.教育.香港、.政府.香港、.個(gè)人.香港、.香港，和將會(huì)在香港推出其他相關(guān)域名的服務(wù)。

傳媒聯(lián)絡(luò)：
香港互聯(lián)網(wǎng)註冊(cè)管理有限公司
市場(chǎng)推廣及傳訊部
電話： 2319 3835
電郵： marketing@hkirc.hk