https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

電子商務:個資保護、防詐騙是未來焦點

2013 / 05 / 09
廖珮君
電子商務:個資保護、防詐騙是未來焦點

大多數EC業者規模不大,但擁有的個資數量卻相當多,如何加強保護甚至妥善因應個資法,是電子商務產業一大挑戰。而自從今年初金管會鬆綁行動支付規範後,因此,在2013年亞太資安論壇中,除了一般資安議題外,也特別針對電子商務產業規劃專業論壇,探討EC業者如何做好資安與個資保護。

過往,台灣企業對個資保護一直著墨不多,導致民眾個資取得容易、詐騙事件頻傳,尤其電子商務業者擁有大量會員個資,更是駭客眼中最佳肥羊。趨勢科技中小企業部業務協理黃家寶指出,駭客攻擊EC網站最主要的目的,不是影響網站營運,而是取得會員與交易資料再將之販售給詐騙集團。

為了改善此現象,政府不僅重新修正個人資料保護法,經濟部商業司更成立以下4個計劃來強化EC產業資訊安全:
1. 透過教育訓練機制,協助246家EC業者建立資安、備份的觀念;
2. 建立網站身份識別標章(降低釣魚網站威脅);
3. 推動TPIPAS個資管理制度與DP Mark隱私保護標章,標章使用年限為2年,可同時符合法規遵循與建立消費者信心的目的,自2010年推動至今,已有7家業者取得標章,同時在2012年開放顧問業務,目前台灣已有9家業者為經過許可的輔導機構。
4. 建置資安通報服務平台,強調「資安聯防」的觀念,首先透過網路平台交安全、供應商交易安全、物流商交易安全3大EC規範,全面提昇EC業者資安防護能力,且這3個規範自2013年開始可以試評,如果符合度超過80%就會發給標章,再者還有EC-Cert資安事件通報平台,經由資安事件通報、聯防、與資訊分享,讓EC業者更了解資安攻擊最新趨勢、即時做好萬全準備。

黃家寶進一步指出,政府單位的網站多用來傳遞資訊、沒有太多機密資料,因此其所遭遇到的資安攻擊多半會利用社交工程郵件,而EC業者卻不是如此,網站上有太多重要資料,駭客直接入侵網站主機、植入後門程式即可取得機密個資,由於EC業者經常只注意到程式功能,忽略了資安機制,入侵網站主機其實不難,再加上後門程式平常不會啟動,只有在撈取資料的時候才會運作,撈取完資料後還會清除存取Log,種種原因讓管理者很難察覺資安事件。

尤其個資法上路後,EC業者若沒有做好資安防護導致會員個資外洩,很可能因此吃上法律責任,寰瀛法律事務所律師池泰毅表示,之前曾經發生過某離職員工竊取前公司的客戶資料,時間長達1.5年之久,這代表著該公司內控與管理制度有缺失,否則怎能任人長期竊取資料而不自知,就法律觀點來看,該公司其實要擔負過失責任。所以EC業者應重新檢視自身的資安機制有無缺失,他認為,個資法施行細則列出的11項安全維護措施,將成為未來法官判斷企業有無疏失的標準。

當然,EC產業的安全問題,除了資料被竊外,還有詐騙交易的風險。Keypasco執行長林茂聰表示,大部份網路交易在付款階段的身份認證沒有安全可言,理想的個人網路身份認證解決方案應具備:(1)從自己的設備與自身所在的地方才能登入帳號(避免盜刷),(2)使用者不需攜帶額外的安全認證設備(使用方便),(3)倘若是軟體解決方案,應確保廠商具備持續升級能力,才能隨時維持最佳安全狀態。林茂聰建議EC業者可採用雲端身份認證服務(IDP),把安全認證及支付交給專業廠商,讓自身可以專注在核心業務上。

最後,警政署刑事警察局165專線組長傅振原指出,隨著智慧型手機與通訊APP普及,越來越多人透過網路電話聯繫朋友,這也讓詐騙集團有機可乘,因為網路電話號碼是可以被竄改的,如何讓網路電話正確顯示號碼變得非常重要,惟有做到「來電可驗證,竄改行不通」,才能降低詐騙事件發生率。

 

相關文章:

資安服務納入共同供應契約 12月底前技服釋出SOC監控

2大個資外洩案例 看企業該如何舉證

2013 資安展會後報導系列1~~個資法與資安攻擊 驅動資料保護需求成長

2013 資安展會後報導系列2~~雲端/行動新興應用 創造新的資安需求