香港网络安全事故协调中心（HKCERT）1月20日举行“香港网络安全展望2025”暨“物联网数字显示屏保安研究报告”传媒简介会，总结2024年香港网络安全状况并发布2025年网络安全预测，简介会指出供应商安全性不稳及AI生成内容被骑劫将成为香港网络安全的主要风险；HKCERT同时发布“物联网数字显示屏保安研究报告”，报告显示数字显示屏或成攻击目标，新型保安漏洞正时刻威胁企业及个人安全。

HKCERT公布，在2024年共处理12,536宗保安事故，其中网络钓鱼占整体个案超过一半（7,811宗，占62%），对比2023年上升108%，数字录四位数增加（共增加4,059宗），情况为五年来最严重。与网络钓鱼相关的连结更超过48,000条，较去年多出1.5倍。网络钓鱼主要集中在银行、金融及电子支付行业，其次是社交媒体、即时通讯软件、电子商贸、科技企业及公共服务。恶意软件的数量于2024年也显著上升，按年增幅高达4.8倍，大部分处理的恶意软件个案均是针对智能装置的木马程式，假装成正常的应用程式诱导用户安装。

生产力局数码转型部总经理兼HKCERT发言人陈仲文表示：“黑客取易不取难，转向经第三方如供应商、承包商或服务提供者进行突破。关键基础设施如能源、海陆空交通、银行、医疗保健都有机会受攻击。不管是低空经济中的无人机，还是数字显示屏等物联网装置均有机会遇袭，影响严重。企业和个人需要做好准备，除制定适当的网络事故应变措施，配置适当的网络安全措施，还要定期进行保安审计及渗透测试，整体认识有关风险并做好预防措施。”

同时，HKCERT根据自身数据及威胁情报进行研究和分析，及邀请不同行业和岗位的香港和海外网络安全专家进行问卷调查，归纳出2025年须留意的五大网络安全风险：

第三方风险上升：供应商、承包商或服务提供者等第三方风险可能带来严重后果，如引发法律诉讼、赔偿。第三方电脑软件、应用程式及开源程式码等的网络安全漏洞也可能导致网络攻击和数据泄露。第三方风险还可能导致供应链攻击。黑客入侵合作伙伴来获取对目标企业系统的访问权限。

大型语言模型资料外泄与投毒风险：大型语言模型面临着资料泄露和被投毒的风险：提示攻击（Prompt Hacking）通过设计和操纵输入提示（Prompt）来误导大型语言模型来输出受限制的资讯；对抗性攻击（Adversarial Attack）通过操控训练数据来影响模型日后的判断。

人工智能（AI）助长网络攻击及诈骗：许多黑客热衷于讨论如何越狱生成式AI-ChatGPT，以生成被限制的内容，例如制作恶意软件和钓鱼讯息等。犯罪设计的GPT反映AI武器化仍然是一个安全风险。

关键基础设施网络攻击增加：全球的关键基础设施均有受到恶意网络攻击的风险。2024年全球针对关键基础设施的网络攻击频繁发生，其中香港的医院也曾遭受勒索软件的攻击。

物联网（IoT）技术的安全风险：物联网装置已经涉猎我们日常生活的各个范畴中，如数字显示屏、无人机、智能家居装置等，但如网络安全措施不足，会极容易遭到黑客入侵。HKCERT发现市面上可供购置的数字显示屏存在常见的保安风险，有机会被黑客发动IoT攻击。

针对以上五大网络风险，HKCERT于2024年7月至9月期间进行物联网数字显示屏网络安全意识调查，以电话访问624间企业，涵盖零售和旅游、资讯和通讯技术、公共关系、金融服务、专业服务及非牟利机构、学校等不同行业，以了解及分析机构对使用数字显示屏及IoT的网络安全意识。

现时数字显示屏除了安装在商场、车站和升降机外，通过数字显示屏进行顾客互动的数码广告和电子餐单等也日趋普及，这些装置背后的潜在风险也随之增加。调查发现，即使多数受访用户相当关注数字显示屏的安全，仍然有39%受访机构不会事先为显示屏进行网络安全风险评估以应对相关风险。HKCERT认为有需要向数字显示屏用户就潜在保安风险作出提醒，并就相关IoT装置的应用提供保安建议，让用户安心使用以防黑客攻击。

采写：南都、N视频记者 刘红豆