打造App資安防護網有訣竅

最近這幾年新興科技發展，像是雲端、大數據、行動應用、物聯網，都讓各產業的資訊服務有了爆炸性的成長，從影響日常生活交易的行動電商、電子支付，到讓各產業發生質變的工業4.0、金融科技FinTech等。
上述總總，不難發現行動App在數位化與業務模式改變中，所產生的深遠影響。
在人手一機的行動浪潮趨勢之下，行動應用App已深入不同產業與生活場景中，例如日常購物、交易轉帳、訂票搭車中，甚至連找工作都可使用App。
對企業而言，App不只是和客戶的互動平台，也是企業的策略工具，亦可以協助企業主深入通路經營管理及內部營運監控。
透過App可以打造企業行動POS機，一機在手，希望無窮，開創無限的商機，並且企業管理階層，也可以透過App即時取得關鍵資訊，例如銷售紀錄、倉儲管理、市場情報等相關的資訊報表，可見App已成為企業實踐營銷一體化的重要推手。
然而，App的資訊架構，相較傳統系統更為複雜，並且承載更多機敏性資料，舉凡個人基本資料、交易資料、GPS 定位資訊等，均為時下App最常應用的資訊。
但使用者對App安全認知有限，且企業大多將App委外開發，而委外廠商以完成程式功能為優先考量，也缺乏安全開發的管控，這造成許多資訊安全議題被忽略，讓App成為資訊安全的漏洞，甚至是駭客攻擊的標的，進而導致企業重要資料外洩、業務訂單漏失、客戶失去信心、品牌價值下降等企業危機。
依據勤業眾信發布「2016年行動應用App之安全檢測報告」看來，行動應用App常見的資安問題包括個人資料容易遭惡意程式使用或傳遞、未檢視所需執行權限（例如GPS定位）、傳輸個人資料時未進行安全加密、所使用套件程式存在安全弱點、未對使用者輸入欄位地方進行相關的安全驗證，以及未有效保護行動應用App，導致可解析程式碼內容及進行修改動作。
讓人憂心的是，目前國內企業對於App資安管理尚在萌芽階段，並未能掌握風險，提出因應對策。
依據國際機構的調查結果統計，大約四成公司在推出 App前，並未進行必要的資訊安全檢查，而約有五成公司，完全沒有編列預算，來確保App安全性。
建議企業應依據經濟部工業局所制訂「行動應用App基本資安檢測基準」來進行App安全檢測，並要適當參考國際最佳實務。
像是OWASP於2016年提出的十大行動裝置應用程式開發風險。從企業內部管理、外部管理與結果檢測三個面向，來掌握App安全風險。
首先是內部管理面：應針對App開發生命周期進行評估，明確訂定App的安全開發標準。接著在外部管理面：針對委外廠商進行完善規範及評估，並溝通安全管理要求與規格。最後則是安全檢測面：透過評估使用者行為，模擬使用者情境與系統環境，定期從多種面向，執行App資安檢測作業。行動應用App不只是吸引客戶目光的行銷手法，更是企業在業務發展、價值創造、以及提升競爭力的一環。企業唯有儘早將之列入企業暨資訊安全風險管理的優先項目，方能在數位化浪潮下，定下穩固的基礎。

(本文已刊登於2016-07-22經濟日報A18經營管理版)

*OWASP為Open Web Application Security Project (開放Web軟體安全計畫)