記者/許芷浩
在疫情時代下,消費者購物習慣的改變迫使零售產業加速轉型,而在轉型下運用數位技術促成眾多線上交易的過程裡,同時也讓買賣雙方暴露在了資安風險中。根據資安人報導,零售業一直以來都是駭客重點攻擊的產業之一,且駭客攻擊平均每39秒就發生1次,更有43%攻擊為針對中小企業;同時網站滲透攻擊的成本逐漸下降,使得近幾年的資安事件層出不窮呈倍數成長狀態。
為了解台灣零售電商資安曝險情形,並給予台灣中小企業借鏡,資訊安全評估平台Cymetrics在12月中公布了台灣十大電商資安風險曝露的調查研究。研究中有四大發現:(1) 90%的電商業者網站安全設置不盡完善、50%明顯揭露伺服器類型與版本、(2) 80%電子郵件認證不夠完善、安全配置鬆散,容易遭受釣魚郵件攻擊、(3) 50%的電商業者員工內部帳號及相關資訊外洩,容易遭受憑證填充攻擊,駭客可進一步滲透網站、(4) 有1家域名管理不嚴謹,容易遭受域名劫持攻擊,用戶將極其容易被騙取帳號密碼等資訊。
在上述調查公開下,可提醒電商業者須積極改善資安不完善之處,以確保交易與消費者個資之安全;同時在法規面,政府也相當關注資安重要性,在越來越多上市櫃公司也透過電子方式銷售產品的趨勢下,為降低公司發生資安事件的可能性,強化資安管理作為的法規也即將上路。
金管會12月24日公布了「公開發行公司建立內部控制制度處理準則」修正草案,針對上市櫃公司要求強化資安管理,並分三級來規範公司須編制「資安長」及「資安專責單位」。
其中第一級為資本額100億元以上,前一年底屬台灣50指數成分公司,公司藉由電子方式媒介商品所有權移轉或提供服務(如電子銷售平台、人力銀行等)收入占最近年度營業收入達80%以上,或占最近二年度營業收入達50%以上者,應在111年底前設置資安長及設置資安專責單位(包含資安專責主管及至少2名資安專責人員) 。
第二級為第一級以外之上市(櫃)公司,最近三年度之稅前純益未有連續虧損,且最近年度財務報告每股淨值未低於面額者,應在112年底前設置資安專責主管及至少1名資安專責人員。第三級為第一級以外上市(櫃)公司,最近3年度稅前純益有連續虧損,或最近年度每股淨值低於面額者,鼓勵設置至少1名資安專責人員。
在疫情時代下,蓬勃的電商交易帶來了大量的數據和資料,促使各界對於資安管理意識越趨嚴謹,不論是電商業者或是具電商之上市櫃公司都需更加強資安管理,以確保公司與消費者之安全。