《會計師看時事》數位浪潮來襲

最近這幾年新興科技發展，像是雲端、大數據、行動應用、物聯網，都讓各產業的資訊服務有了爆炸性的成長，從影響日常生活交易的行動電商、電子支付，到讓各產業發生質變的工業4.0、金融科技FinTech 等。上述總總，不難發現行動APP在數位化與業務模式改變中，所產生的深遠影響。在人手一機的行動浪潮趨勢之下，行動應用APP已深入不同產業與我們的生活場景中，例如日常購物、交易轉帳、訂票搭車，甚至連找工作都可使用APP。

對企業而言，APP 不只是和客戶的互動平台，也是企業的策略工具，亦可以協助企業主深入通路經營管理及內部營運監控。透過APP可以打造企業行動POS機，一機在手，希望無窮，開創無限的商機，並且企業管理階層，也可以透過APP 即時取得關鍵資訊，例如銷售紀錄、倉儲管理、市場情報等相關的資訊報表，可見APP已成為企業實踐營銷一體化的重要推手。

然而，APP的資訊架構，相較傳統系統更為複雜，並且承載更多機敏性資料，舉凡個人基本資料、交易資料、GPS 定位資訊等，均為時下APP 最常應用的資訊。但使用者對APP安全認知有限，且企業大多將 APP委外開發，而委外廠商以完成程式功能為優先考量，也缺乏安全開發的管控，這造成許多資訊安全議題被忽略，讓 APP成為資訊安全的漏洞，甚至是駭客攻擊最明顯的標的，進而導致企業重要資料外洩、業務訂單漏失、客戶失去信心、品牌價值下降等企業危機。

依據勤業眾信發佈「2016年行動應用APP之安全檢測報告」看來，行動應用APP有以下常見的資安問題 : (一)儲存過多的個人資料於暫存檔案中，容易遭惡意程式使用或傳遞，例如信用卡資料；(二)未檢視行動應用APP所需執行權限，例如GPS定位；(三)傳輸個人資料時未進行安全加密傳輸；(四)所使用套件程式內容含已知的安全弱點存在；(五)未對使用者輸入欄位地方進行相關的安全驗證；(六)未有效保護行動應用APP，導致可解析程式碼內容及進行修改動作。

讓人憂心的是，目前國內企業對於 APP資安管理尚在萌芽階段，並未能掌握風險，提出因應對策。依據國際機構的調查結果統計，大約 4 成公司在推出 APP 前，並未進行必要的資訊安全檢查，而約有五成公司，完全沒有編列預算，來確保APP安全性。勤業眾信建議企業，應依據經濟部工業局所制訂「行動應用APP基本資安檢測基準」來進行 APP 安全檢測外，並要適當參考國際最佳實務。像是 OWASP 於 2016 年提出的十大行動裝置應用程式開發風險。從企業內部管理、外部管理與結果檢測三個面向，來掌握APP安全風險。

第一，內部管理面：應針對 APP 開發生命週期進行評估，明確訂定APP 的安全開發標準；第二，外部管理面：針對委外廠商進行完善規範及評估，並溝通安全管理要求與規格；第三，安全檢測面：透過評估使用者行為，模擬使用者情境與系統環境，定期從多種面向，執行 APP資安檢測作業。

行動應用APP不只是吸引客戶目光的行銷手法，更是企業在業務發展、價值創造、與提昇競爭力的一環。企業唯有儘早將之列入企業暨資訊安全風險管理的優先項目，方能在數位化浪潮下，定下穩固的基礎。

(本文已刊登於2016.7.22 經濟日報A18經營管理版)