根據經濟部電子商務資安服務中心(Electronic Commerce - Computer Emergency Response Team ;簡稱EC-CERT)近期發布的警訊通報,短短半個月就有30件加入臉書社團被騙案件,其中有兩名女大學生揪團網購撿便宜,卻被騙新台幣60多萬元;目前網站平台及網拍業者最常被攻擊的手法,是在網頁伺服器置入後門,駭客藉此竊取客戶資料,導致個資外洩,這類攻擊手法對於大部份的業者都很難察覺。
電子商務市場規模快速成長,今年可望成長至新台幣7,400億元,但網路詐騙案件也隨之增加,警政署165反詐騙專線分析,部分電子商務業者因為缺乏資安意識,投資資安設備願意低,常遭遇資安威脅,尤其嚴重的是帳號密碼被竊及個資外洩。知名資安公司賽門鐵克研究也發現,駭客鎖定250名員工以下的中小企業攻擊案例有增加趨勢。
經濟部輔導措施 開放電子商務業者免費申請 為協助業者防禦威脅及風險管理、保障消費者交易安全,經濟部商業司將透過提供免費資安檢測、協助導入「網站身分識別標章」等,強化業者內部資安管理、外部身分識別,同時以「電子商務資安聯防」的概念成立EC-CERT,由資策會執行結合警政機關、資安機構及業界的力量,提供資安警訊及主動監測服務,由內而外,打造全方位防護網,建構網路安全交易環境。
一、針對電子商務業者內部資安管理部分,經濟部提供市值20萬元的免費檢測服務,安排資安顧問到府進行資安檢測,再依據業者需求導入資安技術機制,最後提出結果報告以供業者改進參考,這將可大大降低中小型業者導入資安機制的成本,確保業者資安基礎防護力。
二、經濟部也提供市值約10萬元的「網站身分識別機制」免費服務,內容包括Extended Verification Secure Sockets Layer憑證(簡稱EV SSL憑證)導入、網頁掛馬監測服務及「網站身分識別標章」。此機制具備傳輸加密功能,使消費者資料在網路傳輸過程中受到加密保護,同時與商工登記資料庫及時介接,透過網站身分識別標章提高消費者辨識正牌網站能力,減少釣魚網站之害。申請資格為具獨立網址、且合法登記之B2C電子商務企業,名額有限,報名受理窗口:
ec-security@mail.cisanet.org.tw 三、因應網路無國界的特性,「電子商務資安聯防」以EC-CERT為通報中心,整合警政機關、資安機構及業界的資安情資,協助電子商務業者建立聯防機制,掌握最新的資安威脅與趨勢。經濟部呼籲電子商務產業鏈上下游廠商,盡快加入EC-CERT,以「聯防」的力量,對抗網路威脅及惡意攻擊!
四、面對日新月異的資安威脅及攻擊事件,為協助電子商務業者掌握資安新知及最新資安訊息,EC-CERT不定期發布資安警訊,包括系統漏洞更新、中繼站清單與網路詐騙相關情資等。電子商務業者依警訊類型再提供給內部相關人員,迄今共發布392則。
五、此外,EC-CERT提供示範性的資安事件監控服務,提供業者異常資安事件警示。透過布署資安事件蒐集器,蒐集資安設備的紀錄進行分析,並由Security Operation Center(資安監控中心,簡稱SOC)全年無休的監控分析,進行主動監測服務,讓資安攻擊行為無所遁形,進而提升資安防護水準。詳細內容及服務申請方式請見EC-CERT網址:
http://ec-cert.org.tw