逾5.3萬名員工參與創新高 涵蓋電郵及短訊 提升業界網絡安全意識
香港2026年4月17日 /美通社/ -- 香港互聯網註冊管理有限公司(HKIRC)聯同香港警務處網絡安全及科技罪案調查科(CSTCB)及數字政策辦公室(DPO)合作舉辦的《「釣爾輕心」社交工程演習 2025》已圓滿結束。主辦方較早前於警察總部舉行成果發布會,分享演習結果及分析業界最新網絡安全趨勢。是次演習已踏入第三年,參與機構數目及員工人數再創新高,當中「釣魚電郵演習」共吸引超過300間機構參與,超過53,000名僱員參加,較去年增加超過40%,反映業界普遍重視提升員工網絡安全意識,並積極透過演習強化防禦能力。今年演習新增「釣魚短訊演習」項目,共有超過30 間機構,超過3,600人參與。演習涵蓋機構提供的公司手提電話號碼,但不包括員工個人電話號碼。
2026年4月10日於警察總部:香港互聯網註冊管理有限公司行政總裁黃家偉(右)、網絡安全及科技罪案調查科署理高級警司許綺惠(中)、總督察梁以德(左)
釣魚電郵演習結果模擬釣魚點擊率上升 近半員工未能及時察覺風險
根據演習結果,今年有13.4%的員工曾點擊最少一條模擬釣魚電郵連結,較去年上升1.9%。值得關注的是,在曾點擊釣魚電郵連結的員工中,接近一半未能即時察覺潛在風險,並繼續進行相關操作,包括上載資料或下載檔案,進一步增加敏感資料外洩的風險,建議員工看到可疑連結時先向官方渠道二次核實。
釣魚情境越貼近日常工作越難防範
演習中,參與者共收到四封模擬釣魚電郵,主題涵蓋「IT部門禮品贈送」、「網盤文件下載通知」、「人事部門問卷調查」及「更新系統安全警示通知」。點擊行為分析顯示,含有「優惠」、「限時」等字眼的電郵,較容易誘使收件人在未經深思的情況下點擊連結。
此外,與日常辦公流程高度相似的主題,亦顯著降低員工戒心,增加回應的可能性。結果反映,當釣魚電郵情境貼近日常工作時,員工更難即時辨識潛在風險,凸顯持續保持警覺及培養「零信任」安全意識的重要性。員工應將所有電郵與連結視為潛在風險,避免預設其可信度,才能有效降低風險。
管理層在模擬釣魚測試點擊率高於員工 釣魚攻擊威脅加劇
HKIRC 行政總裁黃家偉工程師表示,隨着網絡攻擊手法日益頻繁及精密,釣魚電郵已成為企業面臨的重大網絡安全威脅之一,而受害對象不僅限於一般員工,管理層同樣存在高風險。數據顯示,經理級或以上人員的點擊率為15.5%,高於一般員工的13%,提醒管理層同樣需要定期培訓,以身作則。黃家偉強調,管理層在機構內擔當關鍵決策角色,其電郵帳號往往擁有較高系統權限,並能接觸敏感及具影響力的資料,一旦帳號被入侵,對機構帶來的風險及影響將更為嚴重。
近九成機構至少一人點擊模擬釣魚電郵連結 中小企風險顯著上升
從機構層面分析,在本次演習的機構內,有89%(268間)至少有一名員工曾點擊釣魚電郵連結,較去年77%上升12%,增幅主要來自中小企。雖然相關數據會因企業規模及參與人數而有所差異,但結果再次反映釣魚電郵仍然是最容易令人「中招」的網絡攻擊手段之一。
因此,機構有必要持續為員工提供網絡安全意識培訓,切勿掉以輕心。網絡安全事故不僅可能威脅企業的數據安全,更可引致財務損失及品牌信譽受損。透過持續教育與訓練,確保員工能識別可疑電郵並採取適當行動,才能從整體上提升防禦能力。
全港首次模擬釣魚短訊演習結果
今次演習的「釣魚短訊演習」是全港首次舉辦的同類型演習,透過向參與機構的員工公司號碼發送模擬釣魚短訊,評估員工在面對流動通訊渠道時的警覺性及應對能力。
結果顯示,有 5.9% 的員工點擊了至少一條模擬釣魚短訊連結,並且70% 的機構至少有一名員工曾點擊模擬釣魚短訊連結。
雖然模擬釣魚短訊的整體點擊率為 5.9%,低於釣魚電郵的 13.4%,但這並不代表釣魚短訊的風險可以忽視。 與電郵相比,短訊內容通常更簡短,能提供的資訊有限,員工難以獲取足夠線索作進一步核實;同時,短訊的發件人身份顯示有限,來源真偽更難辨識,進一步增加了受騙的風險,提醒員工遇到可疑連結時,務必透過官方渠道再次驗證,以降低風險。
由上而下推行「零信任」文化
黃家偉總結時表示:「面對釣魚攻擊,不論透過任何渠道,網絡安全是由上而下、全公司共同承擔的責任。企業必須堅守『零信任原則』,不能掉以輕心,並透過每年的定期培訓及重溫,讓員工學會如何識別釣魚郵件,以及正確的舉報流程,從而提升整體警覺性及安全意識。」
HKIRC 推出 Cybersec Training Hub,為企業及機構提供免費的網絡安全培訓平台。課程設計貼近日常工作場景,內容實用,幫助員工建立基本的網絡安全知識與技能。完成測試並達到合格要求的學員可獲電子證書,協助企業評估員工的安全認知水平,並增強對整體防護能力的信心。透過 Cybersec Training Hub,企業能擴大培訓覆蓋範圍,從源頭加強防禦,為長遠的網絡安全奠定穩固基礎。
Cybersec Training Hub 平台重點
- 完全免費:所有培訓課程均可免費參加。
- 無需技術背景:適合所有員工,無論是否具備 IT 專業知識。
- 貼近工作情境:課程設計以日常工作場景為基礎,實用性高。
- 電子證書:完成測試並達到合格要求即可獲發證書,方便企業評估員工安全認知水平。
- 持續更新:培訓內容會不斷更新,涵蓋最新的網絡安全議題。
官方網站參加培訓:Cybersec Training Hub
透過這個平台,企業能擴大培訓覆蓋範圍,確保每位員工都具備基本的網絡安全知識,為公司長遠的防護能力奠定穩固基礎。
另外,為提高企業整體防護能力,可參加由 DPO,HKIRC 與 國際信息系統審計協會中國香港分會 (ISACA)合辦的「共建員工防火牆」嘉許計劃。此計劃旨在推動企業建立人力防火牆,全面提升員工的網絡安全意識。參與機構可獲不同級別的認可獎座,彰顯其在培訓與防護上的努力,並向外界展示企業在網絡安全上的承擔與決心。
參與機構需在過去 12 個月內達到以下條件:
- 員工培訓:至少 50% 員工完成網絡安全培訓(如 Cybersec Training Hub)。
- 釣魚演習:員工至少參與一次釣魚電郵演習。
- 政策架構:建立全面的網絡安全政策,涵蓋遠程工作、AI 使用指引等。
- 報告渠道:設立有效途徑,讓員工能舉報可疑或惡意電郵。
- 資訊共享:積極參與網絡安全資訊共享平台(如 Cybersec Infohub)。
- 風險評估:每年至少進行一次網絡安全風險評估。
立即參加: 「共建員工防火牆」嘉許計劃
– 完 –
關於香港互聯網註冊管理有限公司
香港互聯網註冊管理有限公司 (HKIRC) 為香港特別行政區政府指定的非利潤分配、非法定擔保有限公司,專責從事香港地區頂級域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登記類別包括英文.com.hk、.org.hk、.net.hk、.edu.hk、.gov.hk、.idv.hk、.hk,及中文的.公司.香港、.組織.香港、.網絡.香港、.教育.香港、.政府.香港、.個人.香港、.香港,和將會在香港推出其他相關域名的服務。
傳媒聯絡:
香港互聯網註冊管理有限公司
市場推廣及傳訊部
電話: 2319 3835
電郵: [email protected]