「當資安提升到一定的水準,基本上詐騙會比較難生存。」提到個資外洩,警政署刑事局研發科代理科長莊明雄一語道破,電商平台資安跟詐騙生態的依存關係。一般電商常見的個資外洩樣態,最多的是網站的漏洞遭到駭客攻擊後取得客戶資料,另一種是員工點了釣魚網站後被植入惡意程式,最後還有犯罪集團策動員工竊取資料。
除了最後一種可要透過提高內控機制防堵外,前兩種外部攻擊,都需要業者提高資安防護,但實際上業者又是怎麼想?資安業者果核數位經理曾國韋說,根據國際資安治理框架,業者在沒有資安事故時,每年至少要做一次弱點掃描和滲透測試,但他長期觀察下來,國內只有大型龍頭電商願意投資在資安防護。
曾國韋爆料,多數業者因為成本考量,投資IT的程度遠低於外界想像。「比方說連正版軟體都不買,防毒軟體可能用免費的或甚至沒用;系統可能只花很少的錢開發,甚至連網站都委外營運。」他點出國內中小企業對資安的態度就是能省則省,但使用盜版軟體代表無法隨著原廠更新修補漏洞,沒裝防毒軟體等於連基礎IT都沒到位。
曾國韋曾遇過行銷預算上億的電商平台,資安預算將近零元,或是某家電通路商雖然把網站打掉重練,但他一到現場了解才發現,不僅廠商沒買防毒軟體,公司連一個IT(資訊人員)都沒有。
不過對小型電商來說,所謂投資在資安的花費又是多少? 果核數位粗估,市面上從基本的硬體、維護到網頁測試,每年至少需投入50到80萬元;而刑事局認為至少得佔公司營業額的1到2成。至於個資外洩後的資安鑑識、找資安漏洞,費用還要往上加。
曾國韋透露,找小型資安業者一次約10到20萬元,如果是大型資安廠商,收費一次至少百萬元起跳,但對企業主而言,花大錢只買到一個問題根源,效益相對不大,於是轉而加強資安防護,但這作法只是治標不治本。
宅就該被騙?高風險平台業者 只有3成有找資安公司
提到平台業者的消極程度,莊明雄不滿的說,他發現2022年有發生個資外洩的平台中,只有不到3成的業者有找資安公司處理,他保守估計至少有近7成業主漠視資安問題。他說,很多業者在被165通報後,只會以「注意詐騙」的形式通知消費者,藉此迴避承認公司個資外洩的事實;另外也有業者被警政署通知有個資外洩狀況後,卻什麼都沒做,甚至有業者向他當面抱怨,「資安公司好貴,為什麼要找?」
他曾遇過用戶近百萬的知名漫畫電商,內部只有一個兼職的資訊人員,發生個資外洩後,該業者寧願花30萬元發簡訊提醒消費者,卻不願找資安廠商找出系統漏洞。除了業者消極處理外,莊明雄也舉例,有些產品的消費群受詐騙的比例相對高出許多,例如有模型業者資料外洩後,光是一週的受害者就破百人;書店平台用戶被詐騙得手的比例也較高,莊明雄分析詐騙集團心態是,「好騙的就不會走」,所以每隔幾個月就入侵取得新一批交易資料,嚴重性不可小覷。
資安公司視角:165對業者有壓力 ESG、供應鏈模式帶動資安標準
該用什麼方式讓電商平台加強個資防護?知名的AI資安公司奧義,創辦人之一叢培侃(PK)直言,對小型業者來說,在Survive(生存)和Security(安全)間,業者要先Survive。他建議業者,可選擇現有的網路開店平台販售商品,降低自身的資安成本。
至於直觀的採取嚴刑峻法可不可行?曾任職刑事局科技犯罪防制中心的叢培侃反而認為,看似強力但不一定有效,因為民間以現行《個人資料保護法》提起的集體訴訟,唯一一個就以敗訴收場,代表從現實面看來提高罰則,尚難對業者形成壓力。
曾國韋觀察,現階段而言,165詐騙平台確實有對業者形成初步壓力,願意踏出了解企業資安的第一步。但他坦言,業者看到報價,會不會做就是另一回事;另一個業者提升資安投資的推力,是企業為了導入ESG(企業永續發展評量),也需要符合其中一項「資安保護」的評估標準。
不過叢培侃樂觀認為,金管會推出的「公開發行公司建立內部控制制度處理準則」中,要求去年底前百家上市上櫃企業需設資安長一職,能進一步帶動國內業者在資安上提升標準。他分析,透過這些企業的資安長對整體供應鏈的風險評估,就會給供應商帶來相應壓力,「甚至一些委外廠商,要擔任我的供應商的時候,都要做好一定的資安,確保我的個資。」
雖然上述作法無法約束只想便宜行事的業者,但現階段除了政府機關監督,也需要消費者有意識選擇可信賴的購物平台,了解留下的每一筆個資何去何從。
莊明雄提醒民眾,需要留越多資料的電商、平台,風險也越高。叢培侃也建議,雖然民眾在系統使用和填寫個資上都沒有太多自主權,但填寫時可以以該平台的使用頻率高低,思考是否要創一個不同的帳號取代平時常用的帳號密碼。
我是廣告 請繼續往下閱讀
曾國韋爆料,多數業者因為成本考量,投資IT的程度遠低於外界想像。「比方說連正版軟體都不買,防毒軟體可能用免費的或甚至沒用;系統可能只花很少的錢開發,甚至連網站都委外營運。」他點出國內中小企業對資安的態度就是能省則省,但使用盜版軟體代表無法隨著原廠更新修補漏洞,沒裝防毒軟體等於連基礎IT都沒到位。
曾國韋曾遇過行銷預算上億的電商平台,資安預算將近零元,或是某家電通路商雖然把網站打掉重練,但他一到現場了解才發現,不僅廠商沒買防毒軟體,公司連一個IT(資訊人員)都沒有。
不過對小型電商來說,所謂投資在資安的花費又是多少? 果核數位粗估,市面上從基本的硬體、維護到網頁測試,每年至少需投入50到80萬元;而刑事局認為至少得佔公司營業額的1到2成。至於個資外洩後的資安鑑識、找資安漏洞,費用還要往上加。
曾國韋透露,找小型資安業者一次約10到20萬元,如果是大型資安廠商,收費一次至少百萬元起跳,但對企業主而言,花大錢只買到一個問題根源,效益相對不大,於是轉而加強資安防護,但這作法只是治標不治本。
宅就該被騙?高風險平台業者 只有3成有找資安公司
提到平台業者的消極程度,莊明雄不滿的說,他發現2022年有發生個資外洩的平台中,只有不到3成的業者有找資安公司處理,他保守估計至少有近7成業主漠視資安問題。他說,很多業者在被165通報後,只會以「注意詐騙」的形式通知消費者,藉此迴避承認公司個資外洩的事實;另外也有業者被警政署通知有個資外洩狀況後,卻什麼都沒做,甚至有業者向他當面抱怨,「資安公司好貴,為什麼要找?」
他曾遇過用戶近百萬的知名漫畫電商,內部只有一個兼職的資訊人員,發生個資外洩後,該業者寧願花30萬元發簡訊提醒消費者,卻不願找資安廠商找出系統漏洞。除了業者消極處理外,莊明雄也舉例,有些產品的消費群受詐騙的比例相對高出許多,例如有模型業者資料外洩後,光是一週的受害者就破百人;書店平台用戶被詐騙得手的比例也較高,莊明雄分析詐騙集團心態是,「好騙的就不會走」,所以每隔幾個月就入侵取得新一批交易資料,嚴重性不可小覷。
資安公司視角:165對業者有壓力 ESG、供應鏈模式帶動資安標準
該用什麼方式讓電商平台加強個資防護?知名的AI資安公司奧義,創辦人之一叢培侃(PK)直言,對小型業者來說,在Survive(生存)和Security(安全)間,業者要先Survive。他建議業者,可選擇現有的網路開店平台販售商品,降低自身的資安成本。
至於直觀的採取嚴刑峻法可不可行?曾任職刑事局科技犯罪防制中心的叢培侃反而認為,看似強力但不一定有效,因為民間以現行《個人資料保護法》提起的集體訴訟,唯一一個就以敗訴收場,代表從現實面看來提高罰則,尚難對業者形成壓力。
曾國韋觀察,現階段而言,165詐騙平台確實有對業者形成初步壓力,願意踏出了解企業資安的第一步。但他坦言,業者看到報價,會不會做就是另一回事;另一個業者提升資安投資的推力,是企業為了導入ESG(企業永續發展評量),也需要符合其中一項「資安保護」的評估標準。
不過叢培侃樂觀認為,金管會推出的「公開發行公司建立內部控制制度處理準則」中,要求去年底前百家上市上櫃企業需設資安長一職,能進一步帶動國內業者在資安上提升標準。他分析,透過這些企業的資安長對整體供應鏈的風險評估,就會給供應商帶來相應壓力,「甚至一些委外廠商,要擔任我的供應商的時候,都要做好一定的資安,確保我的個資。」
雖然上述作法無法約束只想便宜行事的業者,但現階段除了政府機關監督,也需要消費者有意識選擇可信賴的購物平台,了解留下的每一筆個資何去何從。
莊明雄提醒民眾,需要留越多資料的電商、平台,風險也越高。叢培侃也建議,雖然民眾在系統使用和填寫個資上都沒有太多自主權,但填寫時可以以該平台的使用頻率高低,思考是否要創一個不同的帳號取代平時常用的帳號密碼。