政府關注電子商務安全最主要的考量有3個面向:經濟不景氣,電子商務益發重要;個資外洩頻傳影響消費信心;網路安全性不足,動搖整體市場的安定。目前經濟部商業司所規劃的行動方案,均規劃自99年起,分為4年,逐年加以推動。
內容包括了「商店內部」的個人隱私管理問題,以及「各個交易環節」的資訊安全風險。
不過也有人擔心政府單位在推行策略時多少難免流於結果論,也就是只透過表面指標、數字來看KPI,實際上更重要的是導入資安經驗的過程,並不能只是看經過多少測試、多少個標準等,更有網購平台業者發聲,認為政府應該與產業多溝通、多對話,否則政策的可執行度將會大大降低。
政府應整合資源 擔任跨平台溝通角色
從現況問題來看,由於網購平台間牽涉主體眾多,因此跨主體間的協調政府就應介入協調。例如:網購平台業者對主管機關-應有通報機制,發生個資外洩幾筆時就應該主動通報?主管機關對大眾媒體-偵查可以不公開,但結案之後是否應讓大眾知道事件始末,給予民眾知的權利,學習的機會?網購平台業者對消費者-一但發生個資外洩事件,應有一套標準應變流程來面對消費者,傳達清楚訊息使消費者安心,並且提醒應注意事項,避免有人因個資外洩而受害。網購平台業者對公司內部-發生事情時除了通報主管機關、告知消費者,更也要對內部員工傳達想法,避免不必要的恐慌,橫生枝節。網購平台業者對協力廠商-在網購平台業者、供應商、物流業之間,應該依照自身條件,訂出一套適合的規範向主管機關呈報,目前狀況看來是誰具有商業優勢就聽誰的,並不周全,也沒有一定的標準。
資料交換保護機制應為優先
由於行動方案為求架構齊全,包含許多層面,但我們試著從現階段的急迫性問題,來對應在行動方案中各方面的策略。可以考量到的是從資料一進入到購物平台,到中間與其他合作廠商接觸、交換,最後,資料的消滅等。在購物平台、供應商、物流業等相關的主體間,凡牽涉到個人機敏資料的資料交換過程中,應有一套完善的保護機制,並經過主管機關或認驗證組織的稽核、審視。
另外,一名零售網購業者談到,政府的工商憑證還是用在B2B或是內部員工為主,光是在企業之間的應用,都還存在著同業間是否能夠信任的問題,若要應用在B2C的電子商務交易就更加困難,此外像是自然人憑證,由於也包含了很多個人資訊在裡面,消費者是否願意信任購物平台,將個人的憑證交出去?以及該購物平台也要恰好有相關憑證機制的導入,否則憑證不普及,民眾使用意願也會是個很大問題。
平台主體間合作之資安標準建立
「供應商不一定就是弱勢,例如有些熱賣產品,只有他們家有賣,他也不一定要聽平台業者的話。」「當然啊~平台業者是大宗客戶,當然要符合客戶需求。」
網購平台業者、供應商、物流業之間,各自存在著微妙的合作關係,一方面要兼顧自身成本問題,一方面又要避免掉各種可能的資安漏洞,但是照誰的規矩走?誰的標準比較好?A電子商務資料傳輸方式是經過資料篩選之後才傳給協力廠商。B電子商務則設定權限、鎖定電腦IP位置,請對方自己過來抓資料。要達到資安的要求不一定要花大錢,卻有各式各樣的管理方法跟流程,目前看起來是看誰有優勢就聽誰的,沒有一個標準也不夠嚴謹。
在這裡,行動方案裡對應到的是-環境建構面,推動網路交易平台交易機制,其中涵蓋建置電子商務供應商、物流商信賴安全標準。
業界對於政府推動電子商務安全計劃多持正面態度,都認同並且願意參與通過驗證,只不過,如果一個標章沒有權威的公信力與執行力,標章對民眾來講所能起的效用就不大。政府欲推動電子商務供應商、物流商信賴安全標準,但是看看現今企業的狀況,較具規模、組織的購物平台業者,已經開始建議協力廠商,希望處理該平台資料的系統、部門,至少要可以通過資安的國際標準要求。如果民間的動作已經比政府策略快,則政府欲推動信賴安全標準是否還有其意義呢?
重點藏在計劃裡 資安危機應變處理與專責單位
若不幸發生個資外洩事件,事後,應該一套標準的作業流程,如常金蘭也提出建議,對於資安危機的處理機制應設立標準作業流程,主要可分做幾個層面:資訊端、個案追蹤、客戶端追蹤。如果政府可以針對這不同的層面規範出標準作業流程,那麼當企業發生資安事件時,也可透過這些標準做出相對應的措施,而不至於不知所措,甚至未能將經驗累積就草草結案,個資外洩有時候會重複發生在同一台電腦、同一個人,持續的追蹤也可以繼續關注、找出事情的關鍵。
從行動方案的架構裡來看,安全顧問服務、安全服務聯盟,似乎是一個資安危機應變處理的組織。通報平台或許可以扮演電子商務產業界專責資安主管機關角色,來協助產業處理資安危機並做為與檢調單位之間協調溝通單位。
政府需時時與民眾、產業對話 貼近現況
而全民的資安認知,包括消費者、較無資安意識的中小企業(或供應商)等,則需要長期規劃宣導。Payeasy公共事業推展部協理陳中興以過去的經驗建議,反詐騙的資安宣導應該要更積極,要與會員保持對話,會員會隨時告訴你最新狀況EC業者就可以做即時楚哩,甚至可以將詐騙集團的話術放上網頁,讓消費者一看到、一聽到就有所警覺,他認為要堅守消費者到ATM的最後一哩,正是網購業者零詐騙達成率的一個指標。
推廣資安意識需長期耕耘
商業司提到,個人使用者的資安意識依然是一個廣泛且根本性的問題,消費者可能自身被木馬病毒或相關惡意程式所入侵,這樣不管電子商務店家或平台如何重視資安,個資仍會遭竊,僅靠業界的力量是不足夠的,未來建議網購業者應該要設置專屬窗口,專門服務消費者的確認網站之服務內容,商業司也鼓勵業者在消費者交易成交當下,在頁面上顯示防詐騙警語。未來商業司擬與內政部警政署充分合作,研究新鮮、易懂、易記的廣宣口號及說明內容,並有效推廣網購業者採用,使消費者遇到新的詐騙話術或狀況亦能警醒,並且也將會與內政部合作宣導,舉辦一系列的資安研討會,再配合媒體的廣告宣傳來加強民眾認知。
政府應加速制定訂有統一資料傳遞標準
近來筆者參加了不少商業司舉辦的活動,從零售業資安論壇到產業安全認證技術的研討會,發現一個目前商業司的推動重點:著重於零售業資安(並不一定為EC業者),以及企業的身分驗證。零售業資安的動作,可將資安推動到中小企業裡去,包括協助改善網頁漏洞、檢視系統弱點等,主要是在中小企業的體質裡建立資安基礎,而後者則透過廣發工商憑證,幫助了B2B的穩定發展,讓各企業之間的供應鏈發展可以趨於穩定,獲得彼此的信任,縮短作業流程等,這對於國內商業活動的推動多有所助益。只不過,若以推動電子商務安全的角度來看,這些推廣會議似乎對於網購產業來說僅是開始,幫助很有限。
綜觀該行動方案的計畫雖然已經涵蓋諸多層面,但在一些關鍵點上依然停留在計劃階段,看得出來商業司尤其對於推動「個人資料管理制度」有較清楚的計畫,只是,民間企業為求生存早已邁開資安推動的腳步,找顧問、要求上下游配合,檢討購物流程、審視供應商、稽核物流業,導入國際資安認證等等。中大型企業或許還有人、有錢、有概念、有資源,但是綜觀產業界狀況,這一切都還不足夠,中間依然有許多需要政府單位來串連、溝通的部份,而還沒有發生事情,或已經發生事情卻無力解決的中小型網購業者,以及個資被外洩卻又無力無奈的消費者,因而被詐騙的受害者,他們的聲音,誰來聆聽?他們的問題,還在等待解決。
電子商務安全的根本問題在於資料於三方-貨物供應商、平台、物流業者,傳遞間易造成個資外洩,但目前來看,是哪方強勢其他就配合辦理。也因此,政府應加快速度,訂立統一資料傳遞的安全標準,提出更具體、詳盡的因應計畫及罰則。而在個人資料保護法通過之前,商業司是否又可先指定這個部分適用個資法呢?
如同開頭所說,由於電子商務主體牽涉的安全領域眾多,從法規到技術層面,從個人意識到企業規範,其實並不容易。政府能夠主動重視實在是相當值得鼓勵,只不過,所謂「擒賊先擒王,打蛇打七寸!」每個層面對資安推動都是相當重要的,也當然每一個部分都要動起來,只是,在資源分配有限的狀況下,是不是還得把那些藏在各層面、各計劃裡的重點抓出來,釐清資安推動先後順序,方能事半功倍?