為了徹底了解電子商務產業面臨的資安問題,EC-Cert與國內SOC業者合作,在2012-2015年間提供示範性的資安事件監控(SOC)服務,每年開放1~2個名額,進行為期半年的資安事件監控。由於此計劃必須在EC業者端佈署資安事件蒐集器,蒐集資安設備的記錄進行分析,因此比較適合自行建置管理防火牆、主機…等設備的EC業者,如果是網站委外代管的業者就比較不適合。
資策會資安科技研究所組長徐漢強指出,從2012年SOC計劃成果來看,EC業者面臨最多的資安攻擊事件為SQL-Injection、暴力破解密碼攻擊,且攻擊來源大多是大陸IP。
這樣的結果或多或少呼應了賽門鐵克年度網路安全報告的內容,中華民國資訊軟體協會資深處長喻維貞表示,賽門鐵克在報告中指出,過去一年來,網頁式攻擊數量增加30%,大多源自被入侵的小型企業網站,而且許多合法網站已被駭客入侵,經營者卻不自知,其中,購物網、科技/電信業是前5大容易遭受感染的網站型態。
再進一步回顧過去半年來國際上的網站攻擊事件,有許多都是網站主機被入侵,導入使用者帳號與個資大量外洩,又或者是因為網站本身存有SQL-Injection安全漏洞,不僅導致自己的客戶資料外洩,還可能被植入惡意程式後繼續成為攻擊跳板,最近常見的水坑式攻擊就是如此。
EC業者在做資安防禦時,除了自身預算外,也可善用政府資源。經濟部商業司除了上述所提資安監控服務計劃外,還同時成立以下幾個計劃,包括資安檢測輔導、網站身份識別標章與台灣個資管理制度(TPIPAS),另外還以電子商務安聯防的概念成立EC-Cert,相互分享資安訊息及提供主動監測服務。
曾參與輔導計劃的國民服飾(COZIE)資訊人員詹聰濠認為,對中小企業來說,在佈署資安時最主要的問題除了預算不足外,就是(1)不知道如何建立資安管理制度,包括表單設計、管理政策制定…等;(2)不知道該怎麼處理資安攻擊事件,也不知道要如何建立標準處理流程(SOP),導致遇到資安攻擊事件時往往亂了手腳,透過資安檢測服務建立管理制度與SOP,將有助於提升內部資安防禦能力。