近年網絡安全事故屢見不鮮,本月初本港有多個網站、論壇及社交媒體等集體「死機」;通訊軟件亦出現無法下載及上傳的問題。有業內人士表示,網絡保安着重技術應用,觀乎本港網絡攻擊日趨增加,未來更會出現「搶人潮」。為此,政府去年推出「網絡安全資訊共享夥伴試驗計畫」,惟業界冀政府未來投放更多資源,支援本地網絡保安公司。今期《JobMarket》專訪本港網絡保安公司,探討本港網絡保安現況及未來發展;並訪問開辦相關課程的學校,如何為業界培訓新血。
近年不少企業內部電腦受到駭客的攻擊,令大量客戶資料外泄,故企業須加強網絡保安系統,這亦帶動了行內對網絡安全技術員的需求。香港電腦學會理事會成員及網絡安全專家小組召集人胡志偉指,金融及銀行業對網絡安全技術員最為渴求,「虛擬銀行紛紛推出市場,但產品出台前,企業須符合監管機構對網絡保安的嚴格要求,相關人才的需求亦大大增加。」
胡志偉解釋,市場對具經驗的技術員需求相當大,甚至出現「搶人潮」,「技術員轉職,薪酬增幅可達百分之三十至五十,有企業的首席網絡安全官的薪酬,甚至可跟首席財務官(CFO)相比,可見行內十分缺人。」他表示,有些公司更出現由僱員開價的情況。惟不少技術員工作兩、三年後再度轉職,如何留住員工亦是公司一大難題。
不過胡志偉指,從業員須二十四小時輪班,並要不時自學更新知識,以提升競爭力,工作壓力不小。他預計,市場對網絡安全人才的渴求,須待五至六年後,大專院校開辦課程培訓新血後才得以紓緩,「始終網上財務交易及網購等愈見頻繁,長遠將需要更多熟悉IT services(資訊科技服務)的管理人才。」
渴求電腦保安「發燒友」
本港有不少網絡保安公司,為各大企業及政府機構提供防範網絡威脅方案。Network Box Corporation Managing Director Michael Gazeley指,本港網絡保安的情況明顯每況愈下,「現時政府沒有法律規管,要求遭受網絡攻擊的公司撰寫報告,有不少企業直到『出事』才找網絡保安公司處理。」他續稱,今年遭受攻擊的個案比過往增加了五至八倍,高危工種包括酒店業、零售、網上銷售、旅行社,及專業職系如律師、會計師、醫生等。
他續指,上述行業具備高價值資料,駭客意圖攻擊網絡,並偷取相關資料,「他們會將資料備份或要求企業以高價換取作買賣。」駭客可透過殭屍網絡(botnet),對受殭屍網絡病毒感染的電腦或設備網絡進行遠端控制,「通過寄送垃圾郵件,或進行分散式阻斷服務攻擊(DDoS),使多個國家及用戶遭受網絡攻擊。」
近年網絡攻擊情況愈益嚴重,行內亦需要大量人才應對。惟Michael坦言,畢業生在大學所讀的知識及資訊,在踏入職場後已過時,故業界需要電腦保安「發燒友」,「行內需要對網絡充滿好奇心及濃厚興趣的新血加入,如會留意及研究駭客入侵網絡的各式各樣手法,或是熟悉駭客取資料的技術和解決方案等。」他強調,技術員實務經驗尤其重要,方能有效應對急速變化的網絡世界。
Michael稱,其公司進行長期招聘,包括程式開發員、網絡安全技術員,如上門為客戶裝機和維修,輪班工作為客戶檢視網絡情況的技術員,以及銷售員及會計人員等職位。「我們希望聘用一些有經驗的技術員,或對網絡安全有研究的人才,而並非流於知識層面的操作員。」
防範網絡威脅方案增五成
本港另一家網絡安全公司Data World Computer & Communication Limited,其Head of Marketing Candy Lai表示,科技急速發展令全球網絡攻擊事故愈益增加,這提高了本港企業對網絡保安的認知及關注度。「過往企業對網絡威脅的意識不高,直到網絡攻擊影響公司運作及業務,才察覺問題的嚴重性。」據她觀察,近年企業更願意投放資源作網絡防範工作,其公司提供解決方案項目亦有遞增,「近兩年我們提供防範網絡威脅服務,約增加了四至五成。」
該公司主要為企業提供多元化網絡防範服務,包括安裝防火牆、資料備份、信息管理及預防各類型網絡威脅等。Candy表示其公司對技術員有不同要求,「我們會聘用修讀信息技術(IT)或電腦課程的畢業生,他們可先學習安裝防火牆等簡單服務;亦會跟隨有相關經驗及年資的技術員工作,協助公司為客戶提供防範方案,或解決更複雜的網絡問題。」
為讓技術員緊貼網絡安全的發展,該公司會為員工提供內部培訓,或送員工到外地參與研討會;也鼓勵他們在職進修,增加對防範及解決技術的認識。Candy強調,技術員的實務經驗十分重要,「年資高的技術員帶領初入職者,可傳授知識和經驗,增加他們對各種防範方案的認識及了解。」她續稱,其公司未來會擴展業務,冀員工在學習過程中,也能協助公司向企業提供專業服務。
理大辦課育才 畢業生起薪達萬九
鑑於業界反映行內缺乏網絡安全從業員,有大專院校積極開辦課程,冀培育相關專才。理大電子及資訊工程學系副教授兼資訊安全(榮譽)理學士學位課程主任羅毅芳表示,課程於2015年開辦,供副學位畢業生就讀。「課程分為理論及實踐兩大部分,學生須學習一些理論基礎,了解其背後原理;每年亦會針對市場最新需求,對課程內容作出更新。」
羅毅芳續指,為讓學生實踐理論,學生須完成兩科實踐項目,「其中學生須建立一個網站,導師會對他們的網站作出攻擊。學生要發掘網站哪處存在漏洞,並想出解決方案。」她稱,這樣可讓學生設計網站時,懂得如何加強及改善網絡保安的元素,讓他們畢業後可以隨即投入工作。
由於市場對網絡安全人才極為渴求,根據理工大學畢業生的薪酬調查,去年該科畢業生的薪酬中位數為一萬九千五百元。羅毅芳坦言畢業生的前景不俗,「第一屆學生於2017年畢業,當中大部分獲得數家公司提供工作機會。」她認為,各行各業如銀行、電訊公司、顧問公司等,對網絡安全人才都存在需求。
學生「扮」駭客 了解對方思維
職訓局轄下的香港專業教育學院(IVE)亦開辦了資訊及網絡安全高級文憑,其課程主任、柴灣院校資訊科技系高級講師梁洪表示,課程旨在訓練學生學習及應用資訊安全知識,「他們要學習Data base(資料庫)、Programming (程式)等IT的基本知識;也要學習網絡設計、網絡安全等,如怎樣設計一套監管系統。」
他指,公司內的中央登入系統是駭客其中一個經常攻擊的地點,故課程會教授學生系統管理,特別是企業層面。他續稱,為使學生了解駭客的想法,他們須要學習攻擊網站或視窗系統,並學習運用防火牆及window特別工具等防衞。
梁洪續指,去年約有四成畢業生繼續升學,其餘約五成則選擇就業,「有不少學生都加入性質類似顧問公司的Network Solutions Provider,為客戶提供IT解決方案。」他表示,去年畢業生的薪酬水平約一萬五千至一萬七千元。「展望未來,很多企業都十分關注網絡安全問題,加上網上金融服務興起,使相關需求不斷增長,市場對網絡安全人才的需求只會愈來愈大。」
提高透明度 投放更多資源
為提升香港整體應對網絡攻擊的防衞及復原能力,政府去年推出為期兩年的「網絡安全資訊共享夥伴試驗計畫」,以促進公私營機構交流網絡安全資訊,推動行業之間的協作文化和更緊密的夥伴關係,以便更有效和迅速地應對網絡攻擊。
政府資訊科技總監辦公室表示,計畫推出截至6月底,已有逾一百三十家公私營機構參與,涵蓋界別包括創新與科技(包括資訊保安公司)、大專院校、金融與保險、電訊、專業團體,以及電腦保安事故協調中心等。成員可因應相關資訊,及早防範及抵禦網絡攻擊,如香港互聯網註冊管理有限公司(HKIRC)曾分享有關海外地區遭受域名系統劫持(DNS Hijacking)威脅的資訊,並提供專業的保安建議,呼籲成員及企業加強其域名系統保安,減低風險。
作為計畫參與者之一的Network Box Corporation Managing Director Michael Gazeley建議,特區政府應投放更多資源及心血,支援本港的網絡保安公司。「以我公司自家研發的系統為例,二十年來也沒有出現任何網絡事故,政府對我們可以有更大信心。」
Data World Computer & Communication Limited Head of Marketing Candy Lai則建議政府增加更多資源,讓業界能有更多空間進行交流,吸取更多有關網絡保安的最新資訊。「如政府能提高透明度,或多邀請業界加入研討會,可提高同行的參與度及了解內部情況,增加雙方的信心及溝通。」