隨著資訊科技的快速發展,網路不只改變了我們的工作型態,對於一般民眾的居家生活,也產生了很大的影響。過去,親自一手交錢一手交貨的商業模式,肯定是千百年來大家信賴且樂於進行的交易方法,但如今隨著電子商務與線上購物環境的日益成熟,對消費者來說,在購買之前需要親手碰觸到商品本身,已不再是一項必要的鐵則,快速方便成了另一項選購商品的新選擇。
依據資策會的調查顯示,台灣電子商務的市場規模持續地穩定成長,預估2013年的產值將高達7,400億元,整體的成長規模至2015年將可突破新台幣1兆元。不過,隨著網站遭到入侵的資安事件不斷發生,民眾對於透過網路購物交易付款的信心也可能隨之受到影響,進而降低了採取線上消費的意願。
電子商務面臨的5大資安風險
在台灣,由於網路購物而被詐騙的案例層出不窮,最近就有民眾向報社投訴,在大賣場的網站購物之後,隔兩天即接到詐騙電話,詐騙集團居然能夠清楚說出網路購物的結帳金額,藉此來取信民眾,並要求提供信用卡發卡銀行資料,民眾向大賣場的客服專線反映之後,得到的卻只是消極的回應,業者僅表示系統並沒有發現個資外洩的情況。
但是,只是系統查無記錄就表示沒有資料外洩的疑慮嗎?基本上,對電子商務業者而言,可能會產生資安風險的地方,至少就涵蓋了人員、場所、資料、系統及供應商等,因此,強化資安的第一步,就是要先了解到底可能存在了哪些風險,以下就從幾個層面來進行分析探討。
* 營業資料:業者首先必須確保交易資料的安全,目前大多數資料都採用電子化方式儲存,但電子檔案先天上會有容易被複製和竄改的風險,如果電子商務業者所使用的軟體,像是作業系統、應用程式和資料庫等,若沒有及時地去更新修補可能的安全漏洞,或是系統未關閉不需要的服務功能,以及資料庫的存取控制措施不夠嚴謹,很容易就會受到外來威脅的利用,導致電子商務的營運受到影響。
* 網路服務:對電子商務業者而言,所有的交易都要倚賴順暢的網站才能運作,針對網路可能面臨的問題,包括網路斷線、頻寬不足、設備故障等,都需要有應對的措施,除了平時就要與服務供應商保持良好連繫之外,定期的維護檢測,也是確保所有網路設備能夠順暢運作的不二法門。
* 駭客攻擊:目前針對電子商務網站,惡意駭客最常利用的手法就是植入惡意程式或是利用資料隱碼(SQL Injection)的方式來竊取資料。另外,利用消費者端的電腦也是很容易達成目標攻擊的方式,惡意人士可以透過包含攻擊程式和木馬程式的郵件附檔,輕易地攻佔消費者的電腦,再伺機竊取消費者的個人交易資料,導致線上交易可能蒙受不必要的損失。
* 用戶識別:網路交易對消費者而言,最重要的就是個人所持有的帳號和密碼,但這只是最基本的用戶識別機制,一旦帳號和密碼受到側錄盜用,或是有些民眾喜歡在所有註冊的網站上使用相同的帳號和密碼,這種將所有雞蛋放在同一個籃子作法,後果就是造成身分竊盜而引發更多的問題。因此,建議電子商務業者可以採用更強的身分驗證機制,例如使用雙因素驗證或是個人憑證,但是也要提醒業者,必須注意相關的管理措施,因為技術並非能夠解決所有人為的問題。
* 法規風險:許多人可能會覺得訝異,為何法規也被視為是一項風險,對業者而言,法令法規的要求是勢在必行的,因此絕不可輕忽營運過程中可能會有違法的情況,以個人資料保護法為例,若輕忽了個人資料蒐集、處理和利用的不當行為,最後可能會導致相關人員的刑責與鉅額的罰款,千萬不要因小失大而得不償失。
重點1:取得國際標準或第三方認證展現資安重視度
如今對消費者而言,只要打開家中的電腦並連上網路,就可以瀏覽擁有各式各樣商品的網路商店,如果有想要購買的物品,只要輕鬆點選滑鼠,將商品放入虛擬的購物車之中,然後透過信用卡來進行線上付款,就可以完成交易,有些商品甚至保證24小時內就可送到消費者手中,這是過去的人們恐怕很難想像的情景。
隨著網路交易的日漸風行,資訊安全的問題也更加受到重視,對電子商務業者來說,如何實施良好有效的管理,並且贏得消費者的信賴,也成為提升商業競爭力的一項利器。因此,透過取得國際資訊安全標準或第三方公信單位的認證,並且將之顯示在網站上,可以展現業者本身對於安全問題的重視,以及擁有良好的管理水準,目前與電子商務和資訊安全有關的標準認證,ISO 27001和PCI DSS是最受到國際上廣泛認可的,簡要說明如下。
* ISO 27001:ISO 27001是目前受到國際認可的一項資訊安全管理標準,主要提供了建立和實施資訊安全管理制度的規範與要求,透過文件化與PDCA持續改善的方式,可確保資訊安全能夠在組織中有效地運作,同時它也可以作為資訊安全管理系統(ISMS)的驗證標準。在ISO 27001中提到「確保資訊安全是一個管理過程,而不是一項技術導入過程,它是為了確保資訊安全所實行的各項措施,能夠有效保護資訊不會受到各種威脅,以使企業能夠持續營運,並且將可能受到的損失降至最低。」因此,無論組織的規模大小,或是屬於哪一種產業,這項標準都是可以廣泛選擇應用的,所以對業者來說,如果能夠將與電子商務有關的營運活動,劃入ISO 27001標準的管理範圍之中,並且選擇適用的安全控制措施,就可大幅降低電子商務的資安風險,更讓消費者可以辨別和信賴。
* PCI DSS:除了ISO 27001之外,支付卡產業資料安全標準(Payment Card Industry Data Security Standard;PCI DSS)也是電子商務業者可以參考的最佳指引,PCI DSS是由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council組織所制定,目前最新發佈的版本是2010年的PCI DSS 2.0,一共分為6大目標和12項基本要求,內容涵蓋了技術、政策和程序,這些要求可以用來檢視業者的安全機制,以保障持卡人的帳戶及交易資料安全,同時也要求了所有提供信用卡服務的商店和支付款有關的業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準的安全控制措施。PCI DSS是提供給全球產業共同遵守的資料安全標準,除了能夠用來保護信用卡持卡人的資料之外,其目的也是為了要保護個人的敏感資訊,以確保電子商務的交易安全。因此,對於提供線上交易的電子商務業者而言,主動落實PCI DSS中所明訂的各項要求,將可有效保護網站交易的各項資料。
至於在台灣方面,由經濟部商業司委託資策會科技法律研究所執行的「電子商務個人資料管理制度建置計畫」,主要是依據個人資料保護法的要求,規劃建立了「台灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System; TPIPAS)」,目前主要提供給擁有大量個人資料的電子商務產業,希望能夠協助業者來妥善管理個人資料,以降低可能違反個資法規的風險和減輕因個資外洩而導致的法律衝擊。
在台灣個人資料保護與管理制度中,其主要的內容重點,涵蓋了以下六大層面:
1. 要求事項:說明組織中個人資料保護的要求、管理方面的政策和教育訓練等。
2. 管理責任:說明管理階層的責任,建立管理組織並指派管理代表人員。
3. 有效性量測:說明應建立有效的量測機制,以確保個資管理制度的有效性。
4. 文件控管:說明各項文件化的內容和記錄的管理方式。
5. 內部控管:說明組織在監督實施的要求,並且要建立個人資料保護管理手冊。
6. 改善:管理階層應定期地檢視,要求持續改進,並且實施矯正和預防措施。
圖1 TPIPAS是針對電子商務的個資保護制度 (資料來源:http://www.tpipas.org.tw/)
重點2:電子商務業者可立即採取的4大資安工作
如何確保網路交易過程中的資訊安全,這是所有電子商務業者都要面對的頭痛問題,但是相關的資訊安全工作,也逐漸傾向於M型化的趨勢。對大型的電子商務業者而言,隨著日積月累所形成的多元經驗,加上本身所具有的充沛資源,有關資訊安全方面的問題,相對來說是比較容易處理和應對的。但對小型電子商務業者來說,由於人力、物力有限,不太可能將資源都傾注於處理可能的資安風險,也就讓許多業者有理由忽略可能的安全問題。
事實上,業者並非一定要花大錢,才能做好資訊安全的工作,因為許多的安全問題,並不是出於資安產品設備不足,大多數的安全問題,主要都是來自於人為的因素,因此除了必要的安全產品之外,以下的幾項重點工作,都是不需要重大支出,而且無論組織的規模大小,都是能夠馬上進行的重要工作。
* 定期更新組織的資安政策:為了傳達管理階層想要落實資安的決心,組織必須要依據營運的目標與客戶的期望,制定一份適合的資訊安全政策,因為資安政策代表著組織高層的重視與要求,必須要讓全體員工能夠理解,並且願意來共同遵守才行。由於資安政策的內容並非一成不變,需要跟隨組織的成長來隨之調整,因此建議在一定的期間內,就要進行重新檢視修訂,以維持內容的有效性。
* 檢討營運流程中有關資料的管控方式:有些組織在面臨資安事件時,往往會選擇頭痛醫頭、腳痛醫腳,卻忘了分析自己真正的問題位於何處,其實最簡單的方式,就是自我檢討在營運流程中,各項資料的存取方式與交換管道。如果電子商務業者能夠依據本身的營運情況,制定資料存取的標準作業流程,同時保存相關的存取記錄,這種作法即可大幅降低發生資料外洩的風險,並且能夠達成有效的資料安全管控。
* 對相關人員實施足夠的安全訓練:如果業者沒有足夠的經費,可以讓所有員工參加由外部舉辦的資安教育訓練活動,事實上也可以透過組織本身的力量,尋求並鼓勵優秀的內部人員來擔任種子講師,藉此即可對於一般人員實施資安訓練與宣導。一旦員工具有了安全意識,往往資安事件發生的機率就會降低,對於相關的資訊或資安人員,也可鼓勵其參與由政府或民間業者所舉辦的資安研討會,除了可以獲得新知,更可直接提升人員的專業水準。
* 確實修補已知的資訊安全漏洞:針對作業系統、應用程式及開發工具,相關廠商都會定期發佈系統更新或修補檔,這些也都是不需要花大錢,而且相當容易取得的資源。所謂亡羊補牢,還不算晚,借道別人的痛苦經驗,讓組織得以盡快地處理和修正,往往可以免於遭受池魚之殃。
除了加強各項安全控制措施之外,電子商務業者在資安事件管理方面也是需要重視的,尤其是一旦發現資料有可能遭到竊取而外洩時,就應該在第一時間內通知消費者,並盡快進行後續的補救措施,以避免事件一發不可收拾,而造成更大的損失。
以2007年電子商務業者PayEasy網站為例,當時發現了大量來自中國地區的連線IP,不斷以帳號密碼比對的方式,企圖竊取會員的個人資料。業者除了在第一時間進行技術處理封鎖IP,以確保帳戶資料安全之外,更迅速地以簡訊方式通知網站會員,要求會員盡速更新其密碼,並且也立即向刑事局偵九隊報案,請求必要的協助與調查。之後,隨著新聞媒體的披露,加上會員陸續接到詐騙電話,業者更主動設立了詐騙回報專線,來協助消費者因應可能面臨的詐騙問題。
對業者而言,選擇正面應戰或許是一項痛苦的決定,但卻是最正確的決定,雖然冒著被新聞媒體所做的負面報導,可能會損及企業形象的風險,但事實上在事件發生之後,管理階層立即決定要盡快通知消費者和通報相關單位,反而為電子商務業者的形象大大地加分,這個案例更可做為一個敢負起責任的電子商務業者的最佳模範與參考。
圖2 EC-CERT可協助業者緊急處理資安事件 (資料來源:http://ec-cert.org.tw/)
重點3:採用委外安全服務降低風險
在資訊安全方面,電子商務業者如果想要採用委外的安全服務,基本上可以選擇以下範疇的安全服務。
* 資安產品服務:針對資安防禦的部分,業者需要購置基礎的安全設備,常見的包括網路防火牆、應用程式防火牆、入侵偵測與入侵防禦系統等,在評估建置這些產品之前,廠商可以協助規劃和測試,然後業者在所簽訂的維護合約之中,應納入後續所需的維護服務與技術支援內容,確保相關安全設備能夠持續且正常地運作。
* 資安顧問服務:針對資安管理方面,業者若想要建立完整的資訊安全管理制度,就可以考慮導入如ISO 27001國際資安管理標準,或是TPIPAS個資保護制度,透過文件化且可驗證的方式,強化自身的安全管理,這部分也可尋求外部顧問提供所需的協助。
* 弱點掃瞄服務:為了降低電子商務網站可能潛藏的弱點,避免受到惡意人士的不當利用和入侵,業者可以尋求資安廠商的協助,定期地針對網站來實施弱點掃瞄,針對所發現的安全弱點,廠商可以提供修補的建議方法,並且協助業者來進行改善。
* 資安監控服務:面對日新月異來自世界各地可能的惡意攻擊,業者可以藉由資安廠商所提供的資安監控中心(SOC),協助監控網站和系統上的各項活動,並且進行異常事件診斷回應,甚至更進一步提供即時的應變處理,以確保電子商務運作的安全。
在採用委外的安全服務時,根據政府的資訊作業委外安全參考指引中所提到,電子商務業者應該要有一個事前規劃、事中評估和事後維運的機制,了解所需的相關服務內容,設立各項服務水準的指標,並且將這些要求納入合約之中,以確保廠商能夠有明確的文件化要求,依此執行並提供所需的各項安全服務。
此外,建議業者在評選資安服務廠商時,也務必要針對服務廠商的專業資格進行審查,例如廠商本身是否具有產品合法的代理權、是否已經取得了ISO 27001國際認證或TPIPAS的輔導資格,以及相關參與資安委外服務的專案人員,是否具備業界認可的國際證照如CISSP、CEH、CISM等資安專家認證,同時也要求廠商不得將所承接的服務內容,再次轉包給其他廠商,以避免未知的安全風險。
重點4:善用政府資源為資安加分
對台灣為數眾多的電子商務業者而言,隨著交易量的不斷成長,以及所保有的客戶資料愈來愈多,再加上日新月異的攻擊手法與入侵行為,若要單靠一己之力來對抗所有的安全風險,通常是很難能夠達成線上交易與資訊安全的目標。因此,為了強化業者的資安防護能力,確保民眾交易資料的安全,經濟部商業司成立了以下四項計畫,協助電子商務業者來持續改善資訊安全。
1. 提供人員教育訓練:藉由不斷地增強人員的資安意識,協助業者建立資訊安全與資料防護的各項觀念,除了必要的安全技術提昇,更從經營管理層面來確保網站的持續營運與資料備份安全。
2. 建立網站身分識別標章:由經濟部所主導的「電子商務網路交易安全宣導計畫」,包括了EV SSL數位憑證導入、網頁掛馬監測服務,以及輔導申請網站身分識別標章,目前已有超過150家以上的電子商務網站順利地建置完成。此一標章主要是以多重的檢核項目和機制,在網站上採取動態的顯示方式,讓民眾可以很容易地識別並信任所瀏覽的網站,為一合法登記且經過安全認可的網頁內容,讓線上交易能夠獲得更多的保障。
3. 推動個資管理制度與隱私標章:從2010年開始,經濟部商業司即著手推動「台灣個人資料保護管理制度(TPIPAS) 」及建立「資料隱私保護標章 (Data Privacy Protection Mark;DP Mark) 」,在建立個人資料保護管理制度並獲得標章之後, 可以展現業者對於個人資料保護的決心和已實行的安全控制措施,有助於提升消費者的信賴感,同時也遵行了個資法規的要求。
4. 建置資安通報服務平台:除了透過電子商務安全交易規範,兼顧網路平台交易安全、物流商交易安全及供應商交易安全之外,業者更可藉由經濟部商業司所成立的電子商務資安服務中心(EC-CERT),作為資安事件的通報平台,透過彼此資安聯防與資訊的分享,讓電子商務業者能夠獲得及時的資安趨勢與防護作法,以求全面提昇業者的資安防護能力。
圖3 EC-CERT是電子商務業者資安聯防的最佳平台 (資料來源:http://ec-cert.org.tw/)
總結
隨著新的安全弱點與新的攻擊手法不斷出現,電子商務業者對於系統實施安全防護,已是基礎且必要的工作,除了定期地進行系統檢測與查核,確保已知的安全漏洞都已被修補之外,更可以參考相關的安全標準和國際認證,為組織建立一個有效的資安管理制度,因為唯有透過管理面與技術面的相互結合,才能讓組織擁有應變的能力,並且持續地改善和降低可能的資安風險。
未來,如果業者能夠建立一個有效的資訊安全政策,並且獲得管理階層的支持與資源的提供,即使仍會不斷地面臨來自外在的種種威脅,也會有足夠的能量可以處理和面對,因為資訊安全絕對不是一個口號,而是代表著業者經營的擔當與責任,所以在不久的將來,隨著電子商務產業的持續成長,業者的資訊安全自我要求也更要隨之不斷提昇才行。