會計師看時事/打造App資安防護網有訣竅
最近這幾年新興科技發展,像是雲端、大數據、行動應用、物聯網,都讓各產業的資訊服務有了爆炸性的成長,從影響日常生活交易的行動電商、電子支付,到讓各產業發生質變的工業4.0、金融科技FinTech等。
上述總總,不難發現行動App在數位化與業務模式改變中,所產生的深遠影響。
在人手一機的行動浪潮趨勢之下,行動應用App已深入不同產業與生活場景中,例如日常購物、交易轉帳、訂票搭車中,甚至連找工作都可使用App。
對企業而言,App不只是和客戶的互動平台,也是企業的策略工具,亦可以協助企業主深入通路經營管理及內部營運監控。
透過App可以打造企業行動POS機,一機在手,希望無窮,開創無限的商機,並且企業管理階層,也可以透過App即時取得關鍵資訊,例如銷售紀錄、倉儲管理、市場情報等相關的資訊報表,可見App已成為企業實踐營銷一體化的重要推手。
然而,App的資訊架構,相較傳統系統更為複雜,並且承載更多機敏性資料,舉凡個人基本資料、交易資料、GPS 定位資訊等,均為時下App最常應用的資訊。
但使用者對App安全認知有限,且企業大多將App委外開發,而委外廠商以完成程式功能為優先考量,也缺乏安全開發的管控,這造成許多資訊安全議題被忽略,讓App成為資訊安全的漏洞,甚至是駭客攻擊的標的,進而導致企業重要資料外洩、業務訂單漏失、客戶失去信心、品牌價值下降等企業危機。
依據勤業眾信發布「2016年行動應用App之安全檢測報告」看來,行動應用App常見的資安問題包括個人資料容易遭惡意程式使用或傳遞、未檢視所需執行權限(例如GPS定位)、傳輸個人資料時未進行安全加密、所使用套件程式存在安全弱點、未對使用者輸入欄位地方進行相關的安全驗證,以及未有效保護行動應用App,導致可解析程式碼內容及進行修改動作。
讓人憂心的是,目前國內企業對於App資安管理尚在萌芽階段,並未能掌握風險,提出因應對策。
依據國際機構的調查結果統計,大約四成公司在推出 App前,並未進行必要的資訊安全檢查,而約有五成公司,完全沒有編列預算,來確保App安全性。
建議企業應依據經濟部工業局所制訂「行動應用App基本資安檢測基準」來進行App安全檢測,並要適當參考國際最佳實務。
像是OWASP於2016年提出的十大行動裝置應用程式開發風險。從企業內部管理、外部管理與結果檢測三個面向,來掌握App安全風險。
˙首先是內部管理面
應針對App開發生命周期進行評估,明確訂定App的安全開發標準。
˙接著在外部管理面
針對委外廠商進行完善規範及評估,並溝通安全管理要求與規格。
˙最後則是安全檢測面
透過評估使用者行為,模擬使用者情境與系統環境,定期從多種面向,執行App資安檢測作業。
行動應用App不只是吸引客戶目光的行銷手法,更是企業在業務發展、價值創造、以及提升競爭力的一環。企業唯有儘早將之列入企業暨資訊安全風險管理的優先項目,方能在數位化浪潮下,定下穩固的基礎。
(作者是勤業眾信資安科技暨鑑識分析中心副總經理、協理、經理,本專欄每周五刊登)
2016-07-22 經濟日報 溫紹群、舒世明、陳威棋
新百王證券股份有限公司
營業員:曾坤琦(三省一生)
地址:高雄市前金區中華三路11號B1
發富專線:07-2118888
分機電話:07-2118888轉212
聯絡專線:07-2414748、07-2419575
委任期貨商:大昌期貨股份有限公司
證券商許可證號:100年金管證總字第0066號
留言列表