議題觀點
打造App資安防護網有訣竅
勤業眾信資安科技暨鑑識分析中心 / 溫紹群資深副總經理、舒世明副總經理、陳威棋協理
最近這幾年新興科技發展,像是雲端、大數據、行動應用、物聯網,都讓各產業的資訊服務有了爆炸性的成長,從影響日常生活交易的行動電商、電子支付,到讓各產業發生質變的工業4.0、金融科技FinTech等。
上述總總,不難發現行動App在數位化與業務模式改變中,所產生的深遠影響。
在人手一機的行動浪潮趨勢之下,行動應用App已深入不同產業與生活場景中,例如日常購物、交易轉帳、訂票搭車中,甚至連找工作都可使用App。
對企業而言,App不只是和客戶的互動平台,也是企業的策略工具,亦可以協助企業主深入通路經營管理及內部營運監控。
透過App可以打造企業行動POS機,一機在手,希望無窮,開創無限的商機,並且企業管理階層,也可以透過App即時取得關鍵資訊,例如銷售紀錄、倉儲管理、市場情報等相關的資訊報表,可見App已成為企業實踐營銷一體化的重要推手。
然而,App的資訊架構,相較傳統系統更為複雜,並且承載更多機敏性資料,舉凡個人基本資料、交易資料、GPS 定位資訊等,均為時下App最常應用的資訊。
但使用者對App安全認知有限,且企業大多將App委外開發,而委外廠商以完成程式功能為優先考量,也缺乏安全開發的管控,這造成許多資訊安全議題被忽略,讓App成為資訊安全的漏洞,甚至是駭客攻擊的標的,進而導致企業重要資料外洩、業務訂單漏失、客戶失去信心、品牌價值下降等企業危機。
依據勤業眾信發布「2016年行動應用App之安全檢測報告」看來,行動應用App常見的資安問題包括個人資料容易遭惡意程式使用或傳遞、未檢視所需執行權限(例如GPS定位)、傳輸個人資料時未進行安全加密、所使用套件程式存在安全弱點、未對使用者輸入欄位地方進行相關的安全驗證,以及未有效保護行動應用App,導致可解析程式碼內容及進行修改動作。
讓人憂心的是,目前國內企業對於App資安管理尚在萌芽階段,並未能掌握風險,提出因應對策。
依據國際機構的調查結果統計,大約四成公司在推出 App前,並未進行必要的資訊安全檢查,而約有五成公司,完全沒有編列預算,來確保App安全性。
建議企業應依據經濟部工業局所制訂「行動應用App基本資安檢測基準」來進行App安全檢測,並要適當參考國際最佳實務。
像是OWASP於2016年提出的十大行動裝置應用程式開發風險。從企業內部管理、外部管理與結果檢測三個面向,來掌握App安全風險。
首先是內部管理面:應針對App開發生命周期進行評估,明確訂定App的安全開發標準。接著在外部管理面:針對委外廠商進行完善規範及評估,並溝通安全管理要求與規格。最後則是安全檢測面:透過評估使用者行為,模擬使用者情境與系統環境,定期從多種面向,執行App資安檢測作業。行動應用App不只是吸引客戶目光的行銷手法,更是企業在業務發展、價值創造、以及提升競爭力的一環。企業唯有儘早將之列入企業暨資訊安全風險管理的優先項目,方能在數位化浪潮下,定下穩固的基礎。
(本文已刊登於2016-07-22經濟日報A18經營管理版)
*OWASP為Open Web Application Security Project (開放Web軟體安全計畫)