協會關鍵基礎設施內部威脅午餐會圓滿舉行，聚焦安全文化建設與實務應用

2026年5月20日，中國香港網絡安全協會於香港銅鑼灣皇冠假日酒店舉辦「Building an Insider Threat Culture in Critical Sectors」午餐會，邀請來自金融、能源、交通及科技等領域的業界代表參與，就關鍵基礎設施領域中的內部威脅管理及安全文化建設進行分享與交流。活動旨在促進業界對內部風險的認識，並就制度設計、技術應用及管理實務展開深入討論，以應對日益複雜的網絡安全環境。

活動伊始，協會創會主席 David Ip 致歡迎辭。他表示，隨著企業數碼化程度不斷提升，資訊系統與業務流程的整合日益緊密，內部人員在系統中的權限與接觸範圍亦持續擴大。在此背景下，內部威脅已成為企業不可忽視的重要風險來源。業界有必要從管理與實務層面進一步加強相關認知與應對能力，以降低潛在影響。

隨後，來自網絡安全與科技企業的講者圍繞關鍵基礎設施環境中的內部威脅及相關技術挑戰進行主題分享。Claroty 大中華區解決方案工程師 Jason Chan 以「The State of CPS Attacks」為題，分析當前針對網絡物理系統（CPS）的攻擊趨勢。他以近期能源行業攻擊案例為例，指出攻擊者往往在網絡中潛伏一段時間後才展開破壞行動，並透過權限提升及多點攻擊對關鍵設備造成影響。相關案例亦反映，不少攻擊並非依賴複雜漏洞，而是利用預設憑證、系統配置不足及缺乏監測機制等基礎問題完成入侵。因此，他強調企業需加強對 OT 環境的資產可視性、持續監測與異常行為識別能力，以提升整體防護水平。

Hewlett Packard Enterprise（HPE）首席企業架構師 Paul Hugh 則以「AI Security & Governance with HPE AI Factory」為題，探討生成式人工智能快速發展下的安全與治理挑戰。他指出，隨著 AI 逐步演進為具備更高自主性的「智能代理」，在提升業務效率的同時，亦帶來過度權限、數據使用風險及供應鏈安全等新問題。企業在推動 AI 應用過程中，應同步建立完善的數據治理、權限控制及運行時監測機制，並加強對「Shadow AI」等非受控應用的管理，以確保 AI 在安全與合規框架下落地應用。

圓桌討論環節圍繞「Building a Trust‑Based Insider Threat Culture: Balancing Vigilance and Employee Trust」展開，由 I-Tracing 亞太區總監 Pierre Malgorn 主持，與談嘉賓包括協會副會長 Wilson Tang、恒生銀行企業風險管理主管 Frank Ip、中電控股營運科技（OT）網絡安全經理 Alan Lee，以及香港快運航空資訊科技基礎設施及網絡安全主管 George Chung。嘉賓分別從金融、電訊、能源及航空等行業實務出發，分享各自在內部威脅管理方面的觀察與經驗。討論指出，不同行業的內部風險表現形式各異，包括資料外洩、權限濫用及遠端存取風險等，而隨著企業數碼化程度提升及 IT 與 OT 環境逐步融合，內部人員可接觸的系統與數據範圍不斷擴大，令相關管理更具複雜性。

在應對策略方面，嘉賓從「控制」與「文化」兩個層面進行探討。在控制層面，企業普遍已建立包括權限分隔、審批機制及監測制度等措施，但與會者指出，單靠技術與制度難以完全防範風險，內部人員仍可能繞過既有機制；因此，建立具透明度的監測方式、加強員工培訓及鼓勵回報異常情況，有助提升整體安全意識與信任基礎。整體而言，討論認為內部威脅管理需結合制度設計與文化建設，並在促進信任與維持問責之間取得平衡，以建立更為穩健的安全體系。

協會衷心感謝 Claroty、 HPE、 I‑Tracing 等企業會員的支持。本次活動促進了業界對內部威脅管理及關鍵基礎設施安全的理解，亦加強了不同領域之間的經驗交流與合作。

未來，中國香港網絡安全協會將持續推動業界在政策理解、技術應用及實務經驗方面的交流，並加強與本地及國際夥伴的合作，支持香港在數碼轉型過程中建立更安全、穩健及具韌性的網絡環境。