人工智能（AI）正加速融入資訊安全營運，由告警分析到事件分流都愈來愈自動化。面對「工具更聰明」的新常態，香港資訊科技（IT）從業員要重新建立專業價值，關鍵不在於與AI比拼速度，而在於把安全工作由「執行」提升到「治理、風險判斷與責任設計」。

AI進入安全營運：工作被重組而非責任被移走

在不少企業的安全營運流程中，AI已用於降低雜訊、提升分析效率、加快初步分流與回應建議。可是，AI的部署同時引入新類型風險，例如模型輸出不穩定、資料偏差、對安全控制造成誤判，以及因過度依賴自動化而弱化人手覆核。

美國國家標準暨技術研究院（NIST）的《Artificial Intelligence Risk Management Framework （AI RMF 1.0）》，把「治理」（GOVEN）列為核心功能之一，並與MAP、MEASURE、MANAGE並列，反映AI風險管理非單靠技術修補，而要以制度、角色與問責結構去落地。

對香港企業而言，即使安全營運中心（SOC）引入AI加速處理，誰有權批准隔離帳戶、封鎖連線、停用服務、通知客戶與監管機構，仍必須清楚界定而且可審計。

威脅正「規模化」：供應鏈、社交工程與勒索軟件仍是主軸

AI熱潮下，網絡安全的攻防兩端都在升級，但現實是企業最常見、破壞力最大的威脅類型並未消失，反而更容易被「工業化」複製。ENISA《Threat Landscape 2023》把勒索軟件、惡意程式、社交工程、針對數據的威脅、DDoS／可用性攻擊、資訊操控，以及供應鏈攻擊列為主要威脅類別，並指出「as-a-service」模式令攻擊者更專業化、更易擴張。

對香港IT人來說，專業定位要貼近以下這些「長期主菜」：

．供應鏈風險管理：SaaS、MSP、外判SOC、第三方工具與外掛的權限邊界。 

．社交工程防禦：由釣魚電郵延伸至深偽、語音詐騙、以AI增強的詐騙腳本。

．勒索軟件韌性：備份不可變（immutable backup）思維、復原演練、分段網絡與權限最小化。

專業價值上移：由「工具熟練」轉到「風險治理」

世界經濟論壇《Global Cybersecurity Outlook 2025》指出，當前網絡安全形勢更複雜，驅動因素包括地緣政治緊張、供應鏈相依更深，以及新興科技快速採用而帶來的新漏洞面。

因此，香港資訊安全專才的「不可替代」價值，會更集中在3項能力。

首先是風險判斷，把安全事件轉譯成業務取捨。AI可協助提出「可能有問題」，但「是否需要中斷服務」往往屬業務決策，牽涉營運影響、客戶體驗、合規後果與聲譽成本。NIST AI RMF強調風險管理需要「協調活動」去管理風險優先次序，並要求把AI系統放回具體使用情境去評估其影響；而能把技術風險轉成管理層看得懂的決策語言，例如損失暴露面、法規風險、復原時間等，就是新一代價值所在。

第二是治理設計，把AI用在SOC也要可控、可審、可追責。企業若在SOC、事件回應或威脅狩獵中引入AI，應預先設計：

．權限與批准機制：哪些動作可自動執行、哪些必須人手批准。

．可追溯記錄：模型輸入／輸出、觸發規則、決策鏈與變更記錄。

．度量與監察：誤報／漏報、漂移（drift），以及對關鍵資產的影響。

這類做法與NIST AI RMF的思路一致：先治理、再量度、後持續管理，而不是「先上線、出事再算」。

第三是韌性工程，假設攻擊一定會發生，其重點是「可復原」。ENISA指出勒索軟件、供應鏈與可用性攻擊仍然突出，反映「防到100%」並不現實。能把「偵測」以外的能力做好——分段、最小權限、備份、演練、復原，就能把企業由「被動捱打」轉為「可控失效、快速復原」。

香港在職IT人實際轉型路線

對資源有限、節奏快的香港企業，轉型未必只是「學多一堆工具」，而是建立可複用的治理與交付能力：

．把「AI用於安全」寫成政策：包括使用範圍、資料分類、審批與保留期。

．建立第三方／供應鏈清單與最小權限：釐清誰可接觸哪些數據與管理介面。

．把事件回應做成「演練制度」：以勒索軟件與供應鏈事故做情境演練，量度復原時間與溝通流程。

．用框架語言與管理層對話：引用NIST AI RMF的GOVERN/MAP/MEASURE/MANAGE作共同語言，減少「各說各話」。

文：翁希廉

香港電腦學會網絡安全專家小組執行委員會成員