近年來電子商務活動盛行,但層出不窮的APT攻擊、網路釣魚站、間諜軟體等,都有可能造成大量的金錢及企業形象的損失。為提升國內產業資訊安全防護能量,介接產業間的資訊安全控管與建置需求,經濟部資通訊安全產業推動計畫主辦的「攜手強化安心金融交易 安全擁抱社群商務」資安防護推廣說明會,日前於台大醫院國際會議中心舉行,期望藉由經濟部工業局、金管會銀行局及資安廠商的說明,推廣資訊安全防護重要性以及提升防禦能力。
資安防護說明會分別針對金融交易及電子商務邀請講師分享金融詐騙與駭客案例的觀察,並提出中小企業的解決方案。在下午場的電子商務議程中,內政部警政署刑事警察局股長傅振原表示,由於欠缺平台商、系統商和物流商個資保護基準,因而衍生解除ATM分期付款詐欺。2013年1~7月ATM詐騙總件數合計共5,646件,金額高達二億八千六百萬;遊戲點數詐騙案件共2,555件,金額達一億一千三百萬,可見台灣電子商務相關產業對於資安的需求愈來愈大。
當前駭客透過惡意簡訊攻擊,來進行小額付費詐騙的事件頻傳,對此,傅振原指出,如今駭客會透過惡意簡訊進行簡訊攔截與自動轉發,竊取IMEI等手機相關資料與通訊錄資料,然後假冒公務機關訴訟回執單、各類帳單催繳或優惠禮券等名目進行詐騙。對此,除了尋求更安全的身分驗證機制外,如何偵測與清除智慧型手機惡意程式,才是確保行動交易與支付安全的重點所在。
對於小型電子商務業者要如何做好資安漏洞的防範工作,中華龍網總經理劉得民表示,為了因應木馬植入與APT攻擊等威脅,傳統防火牆、IPS等機制既費時又費工,透過網路安全封包分析.電腦設備弱點分析,以及機房主機維護紀錄的稽核才是最完備有效的積極作法。
當前網路盜刷猖獗,造成為數可觀的交易損失,對此,宇鼐科技總經理林仲宇表示,應該為民眾提供兼具方便性、安全性與舉證力的身分驗證機制,亦即手機SIM-based簡訊驗證機制。過去十分風行的簡訊OTP有嚴重的安全瑕疵,透過該公司專利的簡訊Active OTP身分驗證機制,可透過指定手機以簡訊發送驗證碼給廠商,進而有效改善過去簡訊OTP無法確認回填者身分以杜絕遭駭的可能風險。
再就行動支付所可能衍生的種種資安風險,全景軟體協理陳俊良表示,當前行動支付的管道多元,可分為晶片金融卡、信用卡與第三方支付等方式,但不論是業務流程漏洞、APP劫持威脅,乃至行動作業系統或應用本身漏洞 (尤以Android系統為然),都有可能造成安全風險與支付損失的發生。
個資法的制定也突顯出個人隱私安全有日漸惡化的趨勢,資通電腦研發經理孫介人對此強調表示,資料安全的保護原則簡言之就是,外面的進不來,裡面的帶不走。針對外部攻擊,除了基本防火牆與網路監控外,必須建立像是PKI、OTP乃至ARES MOTP等身分識別機制;針對內部資料安全,則可以透過各種資料加密機制,搭配完善的金鑰管理來加以防範。
資安事故接連不斷,即使包括賽門鐵克、eBay、AOL及Target等知名大廠也難以置身事外,對此,戴夫寇爾執行長翁浩正無奈地表示,沒有不安全的系統,只有不安全的人。尤其防禦者不熟悉攻擊者的心態、目的及技術,結果只能在事件發後亡羊補牢,但僅能治標而無法治本。唯有知己知彼,才能百戰不殆,所以必須學習駭客思維與最新技術,才能了解並修補自身的安全弱點。同時貫徹事前預防、事發通報及緊急應變,以及事後調查的資安事件處理原則及流程,才是遠離資安事件的最佳法門。
從這幾場專業的主題演講中,看到有愈來愈多廠商從電子商務的不同面向,努力尋找並開發出能因應最新攻擊威脅與防護漏洞的解決方案,進而讓電子商務的世界不復危險而只有方便。