国防部全面防卫与联系署(Nexus)和新加坡工商联合总会,星期一向参与网络钓鱼测试的企业公布测试结果。 (新加坡工商联合总会提供)
上月展开的一项测试发现,本地企业员工对钓鱼诈骗的戒心不足,会点击钓鱼链接的员工比率比全球平均水平多出近一倍,而会举报这类电邮的员工比率则不及全球的三分之一。
测试结果显示,本地企业与机构有必要重新审视各自的网络安全应对计划和准备工作,辨认及降低风险。
配合全面防卫日,新加坡齐心应变演习(Exercise SG Ready)于2月15日至28日举行。其中一个项目是国防部全面防卫与联系署(Nexus)和新加坡工商联合总会,携手展开的网络钓鱼(phishing)测试。
约200家来自零售业、工业、咨询与服务业、环境相关领域及医疗保健业的企业参与测试,超过八成是中小企业。逾4500名员工收到的钓鱼电邮内容不一,涉及个人电脑账户、安全警报及企业内部通信等。
仅约5%员工举报钓鱼电邮
整体来看,超过三成的钓鱼电邮被打开,17%的员工点击了电邮内的钓鱼链接,而向企业负责人举报的员工仅约5%。这两项数据都比全球平均水平差。
网络安全公司Proofpoint发布的2024年钓鱼状况报告显示,全球网络钓鱼率为9%,钓鱼电邮举报率则为18%。网络钓鱼率通常指点击钓鱼链接,或受钓鱼电邮欺骗而提供个人资料的概率。
两者相比较,本地企业员工的反钓鱼诈骗意识显得薄弱。本地企业在提升网络安全意识和加强员工举报钓鱼电邮程序方面,还有很大的进步空间。
测试发现,大型企业和中小企业员工点击钓鱼链接的比率不相上下,意味着所有企业都同样容易遭受钓鱼诈骗的攻击。
测试发出的各类钓鱼电邮中,点击率最高的是伪装成企业内部通信的邮件。这意味着,员工最容易放松警惕的,正是看似企业内部的电邮。
对政府机构信任度较高 因此放松警惕
李光耀公共政策学院助理教授黄宗伟告诉《联合早报》,新加坡社会对政府和机构的信任度较高,这在应对冠病等卫生或社会课题时有所助益,但也可能让个人放松警惕。
“此外,高效工作是本地职场文化,员工须尽快对事务做出反应。这可能导致员工在看到貌似企业内部发出的电邮时,不假思索就点击了。”
黄宗伟是一名行为科学家,致力于研究打击诈骗行为,今年1月刚获全球反诈骗联盟颁发的反诈骗战士奖项。
他受访时指出,测试如果是在几年前展开,情况相信会更糟糕。本地近年的反诈骗宣导已取得一定成效,人们的反诈意识普遍已有提升。
他认为,与其展开“一刀切”的反诈骗宣导,企业更应深入了解员工,找出他们容易受骗的不同原因,然后制定针对性的措施,提高防诈骗意识。
当局星期一(3月17日)的文告说,新加坡工商联合总会将同公共部门及私人企业伙伴合作,推出全面的网络安全措施,协助企业按照个别面对的风险,落实良好的网安作业方式。
