2013年-電子商務基礎環境-資安與信賴環境

電子商務交易不斷蓬勃發展，網購市場每年都以十位數成長，以資策會MIC調查顯示，可望於2015年突破1兆，面對此一商機，電商業者面對駭客、社交工程攻擊事件、電話詐騙、釣魚網站等等危害資訊安全與網購信賴機制的行為仍感到棘手，除一般B2C電商業者外，團購網、手機製造商、社群網站等也接二連三遭到駭客攻擊。刑事警察局165專線調查顯示，發現國內中小型購物網站常因系統老舊、未作安全更新或網站委外管理鬆散造成資安漏洞，容易成為駭客鎖定攻擊的新目標。對許多中小型電子商務業者而言，因成本與人力的考量，大多決策仍著重於業務發展之上，對於必要的資訊安全投資通常都被置於較不重要的順位，長久下來員工的資安意識相對薄弱，對許多中小型業者而言，成本壓力與資安防護的平衡點，成為企業管理的困難決策。

電子商務交易安全是360度環環相扣的安全議題，為了盡可能創造全方位的安全購物環境，經濟部商業司透過「電子商務資安檢測與輔導計畫」與「電子商務網站身分識別機制推廣計畫」，進行電子商務業者企業內部資安檢測輔導，強化業者資安體質，外部推廣網站身分識別標章，建立消費者認明標章安心購物指標，由內而外建立資安防禦牆，打造健全的資安防禦機制，全面強化網路購物安全。

（一） 電子商務資安檢測與輔導計畫

1、 資安檢測三步驟，強化企業內部資安能量

著重企業內部資安的「電子商務資安檢測與輔導計畫」，是針對電子商務業者內部資安管理制度部分，提供業者免費檢測服務，為降低業者執行上的複雜度，透過完善的電子商務資安管理規範與檢核表逐一檢核資安現況，包含人員安全管理措施、社交工程認知訓練、資料傳輸與郵件傳遞過程管控、資料是否未經授權使用等，加上個人資料保護法上路，就個資的蒐集到利用亦納入執行規範，業者能依循執行規範作法取得消費者個人資料，並有條理的處理及利用會員資料，皆由專業的資安顧問親至現場帶領業者按步就班進行，透過顧問的現場指導，增加業者更多諮詢機會，不僅讓業者對公司所處的資安情況了解，也更重視資訊安全的議題。

除了管理制度面的輔導，為求業者能獲得實質的資安能量，依循業者實際需求導入包括四大資安技術領域：網路安全、內容安全、應用安全與個資防護等資安技術機制，加深技術層面的實質幫助，最後由第三方國際知名驗證單位進行輔導驗證，以管理面與技術面的雙向實質提升資安能量，不僅有效降低中小型業者導入資安機制的成本，也確保業者資安基礎防護力。

圖1 「電子商務資安檢測與輔導計畫」輔導流程　

資料來源:電子商務資安檢測與輔導計畫，2013年2月

自2010年起執行以來，已有超過246家業者加入輔導，透過計畫協助業者提升資安防禦力，無論是知名的網路書店、綜合商城，或是網路人氣賣家、名人創立的電商業者等，皆踴躍加入資安檢測與輔導，過去曾有家銷售辦公用品及電腦事務週邊耗材的電子商務業者申請輔導，業者經營網路購物已有七年的歷史，對於資安的重要性已有一定的認知，但基於資訊經費的缺乏，對於資安的防護措施卻遲遲無法增進，因個人資料保護法上路，企業內部對個人資料保護政策亦手足無措，透過資安顧問的進駐輔導，企業員工除了對個資法有了進一步的認識，也體會到資安不僅著重在會員資料外洩的防護，委外合約簽訂及資安制度完善皆是保障公司內外權益的重點，因此重新檢視內部的委外模式及資安制度，並導入適合之資安技術。該業者導入特定之資安技術不僅可了解每位員工對外資訊流通，避免公司及會員資料外洩，也可讓業者每天掃描檢視網站是否有遭人植入惡意程式或攻擊，透過顧問輔導與資安技術導入，從中使電子商務業者獲取更多資安相關知識，讓電子商務業者不再無所適從，除了強化業者本身資安管理制度與防護能力，更有效協助業者保障消費者權益，創造網路雙方可信賴的交易安全環境。

2、 資安人才培訓課程-傳授資安新知識

為了提升業者的資安意識，以多元實務及彈性的教育訓練推動策略進行資安人才培訓，替業主建立員工資安基礎認知，並針對新個資法安排相關課程，強化資安威脅與個資防護意識。過往的教育訓練及人才培訓多期望培育全才式管理人才，有鑑於中小型業者人員不足及能力培養不易，以多元實務及彈性的課程、豐富的案例說明，及實作演練的互動式教育訓練方式進行資安人才培訓，替業主建立員工資安威脅認知，並針對新個資法安排相關課程，強化個資防護意識，面對電子商務逐漸擴大的大環境下，使得業者能強化內部人才專業知識、提升對外資安防護能力。

民國2010年度起已培訓超過240家業者，透過強化內部的資安建置與人員觀念訓練，提升對外資安防護能力。整體而言，有效落實長期整體交易環境安全之維護，提升企業與民眾參與電子商務的意願與信心，在電子商務市場逐漸擴大下，共同創造更安全的電子商務交易環境。

（二） 電子商務網站身分識別機制推廣計畫

1、 網站身分識別標章，杜絕釣魚網站詐騙

著重外部消費者辨識網站真實性的「電子商務網站身分識別機制推廣計畫」，則是提供能夠證明網站真實性的「網站身分識別標章」，此網站身分識別標章是結合Extended Verification Secure Sockets Layer憑證（簡稱EV SSL憑證），以128bit位元以上傳輸加密等級來維護網站安全，並使用動態顯示方式避免標章被偽冒，多重強化網站安全性，同時與商工登記資料庫及時介接，企業的公開資訊一併展現網站身分識別標章，讓消費者能清楚辨識真假網站，也可讓電子商務業者建立高信賴度的網路交易環境，降低因釣魚網站而產生的損失，及減少洩漏個人資料、網路會員流失等風險。

自2010年起執行計畫以來，在政府相關措施配合努力下，電子商務網站資安能量提升，網路詐騙案件逐步下降、個資外洩事件與財損同時減少，經濟部推動網站身分識別標章，已有220家業者相繼支持，包含網路書店知名業者全數參與計畫輔導，美食保健/美妝保養/3C商品/綜合商城及服飾配件人氣賣家都踴躍加入網站身分識別標章，網站身分識別標章可有效協助消費者識別該購物網站是不是一個正牌可安心購物之網站。

由於網路詐騙手法愈趨高明，消費者的警覺及業者的資安防禦能力更應道高一尺、政府全力推動電子商務安全交易環境，除推動網站身分識別標章外，更積極協助加強消費者資安認知與提高自我保護意識，透過資安檢測認知遊戲、入口網廣宣、網路新聞、平面媒體、宣導動畫…等，多種類型之露出方式，不斷強化消費者認知與自我保護之重要性，透過簡單易懂且生動活潑的方式傳達給消費者，2年多來已創造超過15萬人次參與計畫各項活動，並於各種媒體中總計創造高達百則露出，目的就是要讓更多消費者認識與認同「網站身分識別標章」，透過標章即時管控機制，帶給消費者更安心購物的交易環境。

2、 網站身分識別標章辨識三部曲

經濟部商業所推動「網站身分識別標章」機制，自99年起累積已有220家網站導入使用，民眾可藉由此機制所提供三項訊息得知網站的真實性，訊息一：「網站出現綠色打勾之動態標章，並有顯示『當天日期』及『已認證』字樣」、訊息二：「https://開頭綠色網址列」、訊息三：「點入標章則出現中文揭示網站資訊」，三項資訊讓民眾不再受到釣魚網站之混淆，更可使消費者在登錄身分及交易資料的傳輸過程中受到加密保護，有效避免個人資料外洩。

圖2 「網站身分識別標章」辨識正港網站三部曲

資料來源:電子商務網站身分識別機制推廣計畫，2013年6月