香港網絡安全事故上升 27%,你的公司已是攻擊目標
2026-04-08讓香港企業不斷遭受入侵的一個假設
大多數香港企業相信自己的網絡安全是足夠的,因為至今什麼事都沒發生過。而這個信念本身,就是最大的漏洞。根據香港電腦保安事故協調中心(HKCERT)的《香港網絡安全展望 2026》報告,香港 2025 年的安全事故達到歷史新高,共 15,877 宗——較上年增加 27%。其中超過三分之一的事故與薄弱的內部存取控制相關。系統從未被外部突破,而是門從內部沒有上鎖。
2026 年的網絡安全問題,早已不是「會不會有攻擊來臨」。DragonForce 勒索軟件組織在 2026 年 2 月曝光了香港一家製造業公司逾 434GB 的數據。由 AI 生成的魚叉式網絡釣魚攻擊,現在使用含有準確業務背景、管理人員姓名及行業詞彙的個人化內容,令人難以辨別真偽——與過去錯漏百出的詐騙電郵截然不同。威脅環境已是自動化、針對性的,並且持續在學習進化。
問題從來不是你的企業會不會成為目標。在攻擊工具已全面自動化的市場裡,達到一定收入規模的每家企業,已經在某個人的攻擊名單之中。真正的問題,是他們到來時會發現什麼。
27% 的升幅為何比數字本身更令人擔憂
安全事故上升 27% 只是最低估計,因為網絡安全事故向來嚴重漏報,尤其是中小企——很多根本從未被發現。沒有任何安全監控能力的企業,直到有人察覺到異常才知道已遭入侵——而此時,攻擊者可能已在網絡內部潛伏了數週乃至數個月。
在香港,33% 的企業沒有專職網絡安全人員。在中小企中,僅 67% 有任何人員負責網絡安全職責——意即三分之一的中小企根本無人對安全負責。這些不是邊緣情況的統計數字,而是 2026 年香港中小企的普遍運營現實。
遭受入侵的代價不只是即時的贖金或恢復費用,還包括對客戶和合作夥伴的聲譽損害、《個人資料(私隱)條例》及 2025 年生效的新關鍵基礎設施網絡安全規定下的法規罰款,以及系統復原期間的業務中斷損失。業界數據顯示,每花港幣 1 元在預防上,從入侵事故恢復的代價是港幣 6 至 10 元。
HKCERT 點名的 2026 年五大威脅
AI 強化攻擊:攻擊者正在使用與企業採用的相同 AI 技術,加速和個人化他們的攻擊。魚叉式網絡釣魚活動現在使用 AI 生成的電郵,引用你的真實業務背景、管理人員姓名及行業術語,令其極難被識別為詐騙。
供應鏈漏洞:你的網絡安全強度,取決於你最薄弱的供應商。2026 年,供應鏈攻擊——即攻擊者通過入侵受信任的供應商來存取其客戶——佔重大入侵事故的比例持續上升。如果你的供應商能夠存取你的系統,而他們的安全防護薄弱,無論你自身的防禦多強,你的業務同樣面臨風險。
勒索軟件雙重勒索:現代勒索軟件不僅加密你的文件,還會先行竊取數據。即使你拒絕支付贖金,攻擊者仍可公開或出售你的業務數據。一旦數據遭竊取,依靠備份恢復系統已不再是完整的解決方案。
薄弱的存取控制:超過 33% 的香港數據洩露案例涉及不充分的內部存取控制——員工擁有超出其職責所需的系統存取權限、共用密碼、缺乏多因素驗證、已離職員工的賬戶從未停用。這些不是需要複雜攻擊才能利用的漏洞,只需一次基本的自動掃描和一個有耐心的攻擊者。
影子 AI:約 35% 使用 AI 的香港企業,其員工在沒有管治政策的情況下將企業數據輸入 AI 工具——客戶記錄、財務數據、戰略計劃,全部上傳至外部 AI 平台。在這些情況下,洩露不是攻擊的結果,而是政策缺失造成的意外披露。
滲透測試實際上能揭示什麼
滲透測試是針對你的系統進行的受控、授權的真實攻擊模擬。專業道德黑客使用與真實攻擊者相同的工具和技術——但他們為你工作,記錄發現的所有問題,並幫助你在任何惡意攻擊者之前修復它們。
對香港中小企進行滲透測試最常見的發現包括:已知可被利用漏洞的未修補軟件;配置錯誤的雲端存儲,敏感數據在無需驗證的情況下可被存取;員工擁有他們不需要的管理員權限;以及沒有人審查過的防火牆規則,自系統首次設置以來從未更新。這些漏洞不需要複雜的攻擊即可利用,只需基本的自動掃描和一個有充裕時間的攻擊者。
滲透測試的價值不在於最終的報告,而在於它帶來的視角轉變:從「我們還沒有被攻擊過」到「這些是目前敞開的具體大門」。這種視角的轉變,才是推動真正安全改善的動力。
託管安全模式:企業級保護,中小企預算
許多中小企網絡安全防護不足的原因,不是不了解威脅,而是認為應對成本太高、過於複雜。在香港聘請一位全職安全專家的成本是每月港幣 5 萬至 8 萬元。建立內部安全運營中心是數百萬港元的投資。這些是無法套用於中小企現實的企業級成本。
託管安全服務供應商(MSSP)通過在數百家客戶中分攤企業級安全能力的成本,解決了這個問題。你獲得完整安全團隊的效益——威脅監控、事故響應、漏洞管理、合規支援——費用只是自行建設的一小部分。
UD 在香港作為值得信賴的 MSSP 已運營逾 20 年,服務超過 50,000 家企業。我們的安全團隊全天候監控客戶環境,不僅限於辦公時間。當某個警報在星期日凌晨三點觸發時,有人正在查看——而非等到星期一早上。
強化企業安全 🛡️ 立即行動
UD 是值得信賴的託管安全服務供應商(MSSP)
擁有 20+ 年經驗,已為超過 50,000 家企業提供解決方案
涵蓋滲透測試、漏洞掃描、SRAA 等全方位網絡安全服務,全面保護現代企業。