-企業導入行動應用APP的商機與風險

議題觀點

《會計師看時事》數位浪潮來襲

企業導入行動應用APP的商機與風險

勤業眾信資安科技暨鑑識分析中心/溫紹群副總經理、舒世明協理、陳威棋經理

最近這幾年新興科技發展,像是雲端、大數據、行動應用、物聯網,都讓各產業的資訊服務有了爆炸性的成長,從影響日常生活交易的行動電商、電子支付,到讓各產業發生質變的工業4.0、金融科技FinTech 等。上述總總,不難發現行動APP在數位化與業務模式改變中,所產生的深遠影響。在人手一機的行動浪潮趨勢之下,行動應用APP已深入不同產業與我們的生活場景中,例如日常購物、交易轉帳、訂票搭車,甚至連找工作都可使用APP。

對企業而言,APP 不只是和客戶的互動平台,也是企業的策略工具,亦可以協助企業主深入通路經營管理及內部營運監控。透過APP可以打造企業行動POS機,一機在手,希望無窮,開創無限的商機,並且企業管理階層,也可以透過APP 即時取得關鍵資訊,例如銷售紀錄、倉儲管理、市場情報等相關的資訊報表,可見APP已成為企業實踐營銷一體化的重要推手。

然而,APP的資訊架構,相較傳統系統更為複雜,並且承載更多機敏性資料,舉凡個人基本資料、交易資料、GPS 定位資訊等,均為時下APP 最常應用的資訊。但使用者對APP安全認知有限,且企業大多將 APP委外開發,而委外廠商以完成程式功能為優先考量,也缺乏安全開發的管控,這造成許多資訊安全議題被忽略,讓 APP成為資訊安全的漏洞,甚至是駭客攻擊最明顯的標的,進而導致企業重要資料外洩、業務訂單漏失、客戶失去信心、品牌價值下降等企業危機。

依據勤業眾信發佈「2016年行動應用APP之安全檢測報告」看來,行動應用APP有以下常見的資安問題 : (一)儲存過多的個人資料於暫存檔案中,容易遭惡意程式使用或傳遞,例如信用卡資料;(二)未檢視行動應用APP所需執行權限,例如GPS定位;(三)傳輸個人資料時未進行安全加密傳輸;(四)所使用套件程式內容含已知的安全弱點存在;(五)未對使用者輸入欄位地方進行相關的安全驗證;(六)未有效保護行動應用APP,導致可解析程式碼內容及進行修改動作。

讓人憂心的是,目前國內企業對於 APP資安管理尚在萌芽階段,並未能掌握風險,提出因應對策。依據國際機構的調查結果統計,大約 4 成公司在推出 APP 前,並未進行必要的資訊安全檢查,而約有五成公司,完全沒有編列預算,來確保APP安全性。勤業眾信建議企業,應依據經濟部工業局所制訂「行動應用APP基本資安檢測基準」來進行 APP 安全檢測外,並要適當參考國際最佳實務。像是 OWASP 於 2016 年提出的十大行動裝置應用程式開發風險。從企業內部管理、外部管理與結果檢測三個面向,來掌握APP安全風險。

第一,內部管理面:應針對 APP 開發生命週期進行評估,明確訂定APP 的安全開發標準;第二,外部管理面:針對委外廠商進行完善規範及評估,並溝通安全管理要求與規格;第三,安全檢測面:透過評估使用者行為,模擬使用者情境與系統環境,定期從多種面向,執行 APP資安檢測作業。

行動應用APP不只是吸引客戶目光的行銷手法,更是企業在業務發展、價值創造、與提昇競爭力的一環。企業唯有儘早將之列入企業暨資訊安全風險管理的優先項目,方能在數位化浪潮下,定下穩固的基礎。

(本文已刊登於2016.7.22 經濟日報A18經營管理版)

是否找到您要的資訊?