名家觀點/建立資安檢測 完善物聯網生態
2018-06-21 02:12 經濟日報 李沃牆(作者是淡江大學財金系教授)
金融科技發展如火如荼,資安問題也層出不窮,對國家、企業及消費者造成極大威脅,如何提升資安實刻不容緩。首先要注意的是,行動裝置愈趨普及、各種類型的行動應用 App 琳琅滿目,但部分開發者缺乏資安意識,導致使用者面臨資料外洩或財產損害。消費者往往不知手機中的購物App是否為真、透過App連結的網站是否為惡意網站或是詐騙網站;要進行App下載時,消費者是否留意到安裝這些應用程式要求了哪些權限,是否知道這些權限存取權正對隱私行為的監控,又竊取哪些個人隱私。
進一步言之,無論是iOS、Android 還是Windows Phone作業系統,下載 App擴充功能是現代智慧型手機必備的功能;但在下載應用程式的時候,可能不知自己開放了哪些手機權限給所下載的應用程式;如之前的Google play 一旦在安裝時同意App獲取權限,在下載使用時應用程式時即可隨時獲取用戶的隱私信息。
民國105年(2016年)一銀ATM遭駭自動吐鈔案後,鑑真數位檢測國內前20大銀行App,結果11支有資安嚴重缺陷;此外,德國軟體廠商G Data統計去(民國106年(2017))年第1季中,全球就新增逾75萬個Android惡意程式。
其次則是電子商務隨金融科技發展不斷的擴大。電子商務打破地域限制,為跨國界的商業模式,但許多電子商務網站常以不同國家語言呈現,消費者難以分辨業者的商業登記在國內或國外。由於司法管轄權且各國法令不一,倘若發生跨境消費糾紛,消費者該如何維護自身消費權益。
據調查,電商常面臨的資安風險包括,自行開發或委外開發網站存在漏洞、金流商及物流商等配合廠商個資外洩、駭客攻擊者用已外洩帳號密碼登入電商網站、買家在詐騙集團的賣場交易、電商網站出現惡意連結,引導進入鈞魚網頁、付款安全機制漏洞等。
也因此,當消費者面臨資安風險時該如何防範?歸納有三大重點。一是消費者應有所自覺:使用智慧型手機如同使用個人電腦,下載軟體或登錄社群網站,應時時保持戒心,建立智慧手機防毒功能。
二、消費者教育:消費者應透過不同的學習管道,認清不同的資金風險來源及預防。
三、政府資安的防護:經濟部工業局去(民國106年(2017))年2月發布「行動應用App基本資安自主檢測推動制度V3.0」,3月7日「行動應用App基本資安檢測基準V2.1」(高級)相關規範。希望落實行動應用App基本資安規範,制定行動應用App基本資安檢測標準,鼓勵開發商、平台業者遵循;並推動行動應用App基本資安自主檢測推動制度。
據悉,國內目前八家檢測中心每次檢測費用不便宜,政府相關單位在經費有限下不可能經常抽測,何況市面各行各業的App何其多,隨機檢測幾家亦無法保障消費者權利。因此,建議政府有關單位應儘快推動「App檢測認證標章」,由業者在App上架前自行至檢測中心檢測,通過後給予認證標章並公告。
如日前經濟部與NCC宣布將推物聯網共同標準,驗證制度,透過資安技術,標準制定及檢測能量三方面,完備物聯網資安產業生態系統。
而資安檢測不應立法強制執行,應以輔導方式進行,由政府各機關或相關產業來協助推動,未來再視績效調整;以免阻礙創新。若能將檢測結果也納入企業社會責任(CSR)評估指標中,企業與消費者才能雙嬴。