資安重視程度高 期盼EC-CERT伸援手　MIC首度公布台灣中小型網路商店資安報告

電子商務目前已成為商業交易環境不可或缺的重要元素，尤其是中小型網路商店，更已成為許多實體商店拓展業務、跨入電子商務的重要通路，也是許多創業者踏入電子商務市場的重要試金石。但在攸關消費意願的資訊安全投資方面，據資策會產業情報研究所(MIC)首次針對中小型網路商店，所進行的電子商務交易安全指標調查顯示，儘管中小型網路商店對於資訊安全的投資意願超過四成，但由於大多數中小型網路商店，多半是使用PChome商店街、Yahoo!奇摩超級商城的網路平台開店，加上商店規模小、員工人數少，卻又很難像大型企業一樣能夠自行建立資訊安全機制，因此紛紛表達希望政府伸出援手，除儘速訂定網路安全交易機制法令及規範外，對於目前運作中的EC-CERT電子商務資安通報服務中心，更是多所期待。

六成以上店家希望提供資安專業協助

據MIC產業分析師胡自立表示，在本次針對250家中小型網路商店所做的2011年資安調查發現，未曾遭遇資安事件的店家僅佔18%，換句話說，超過82%的店家曾遭遇資安事件，其中又以惡意程式(36.8%)、電話詐騙(26.4%)、客戶個資外洩(24%)及線上服務遭中斷(20.4%)為店家較常遭遇的資安事件。

而在實際造成的損失方面，有75.6%的店家曾因資安事件而引起損失。值得注意的是，有34%的店家認為資安事件的主因，是因為網路開店平台業者的資安防護疏失，高居資安事件原因榜首，其他原因依序是外部駭客入侵(23.6%)’、硬體設備故障(20.4%)、硬體設備老舊(18%)等。

調查中也發現，有72%的中小型網路商店，選擇在網路開店平台如PChome商店街、Yahoo!奇摩超級商城經營，因此超過六成以上的店家，希望在面臨資安事件時，平台業者能夠負責(69.6%)或提供資安專業協助(65.6%)，也有高達56.8%的店家希望平台業增加資安軟硬體設備方面的投資。

根據此次調查結果，中小型網路商店的資安投資金額，以23.2%的1,000至1萬元以內最多，另有兩成店家無任何資安投資，而1,000元以下則佔8.4%，整體顯示對資安投資1萬元以下的店家佔51.6%。

調查也發現，資安投資佔總資訊投資比率2%以下的網路商店達52%，顯示五成店家在投資資訊科技時，資安投資所佔的比率偏低或不在投資考量範圍。

MIC資深產業分析師王義智表示，可能是因為中小型網路商店的營業額，遠不如大型企業，且不像大型企業擁有專業的MIS團隊，因此在資安方面的投資規模相對不大。

人力及財力不足為最大隱憂

事實上，調查中確實發現，員工數在3人以下的網路商店，高達65.2%，4~5人佔18%，6~10人佔10.8%，11人以上佔6%。而無論是專責或兼辦的資安專責人員，店家擁有的人數以0位佔七成以上，呈現整體網路店家在資安人力是相對不足的。

即使有配置資通安全人員的中小型網路商店，其中有近八成的網路商店資通安全人員，並不具備資安相關證照。

調查也發現，其實中小型網路商店仍相當重視資訊安全，其中68.8%的店家是因為要確保消費者交易安全，也有47.2%是為了避免因資安攻擊而承受財務或商譽的損失，有34.4%是為了防範持續增強的資安威脅，而24.8%是為了因應新版個資法。

至於資安投資的優先順序方面，有40.4%的店家傾向先投資資安軟硬體設備，其他有關人員控管與教育訓練、減少不必要之個人資料儲存管理，及請夥伴共同維護的意願，相較導入資安驗證標章或設立資安專責部門，要高出不少。

但在此同時，42%的店家也認為資安軟硬體設備投資費用高昂，成為維護資訊安全的主要困難，其他困難還包括個人資料隱私權管理困難(33.6%)、內部電子商務資訊人才不足(32.8%)等，顯示中小型網路商店對於資訊安全的維護，其實並非沒有意願，而是投資能力相對不足。

新版個資法上路 有助提高網路消費

事實上，因為新版個資法最快將在今年底正式上路，超過六成以上的店家，認為新版個資法將會形成更高的營運風險，且有五成以上認為由店家提出非故意無過失的證明，似乎不太合理，對照前述有六成以上的店家，希望網路商店平台業者能夠在資安方面責任，但網路商店平台業者卻不見得完全認同，王義智認為，平台及業者之間的糾紛如何調解，可能會是未來需要迫切解決的問題。

但另一方面，也有45.6%的店家同意新版個資法，有助於網路消費，而有40.4%持普通意見，只有14%採不同意的看法，整體而言，店家顯然也認同確保消費者交易安全，才能提高網路消費意願。

但沒有足夠預算，來因應新版個資法的要求，也成為五成網路商店未來經營的困難點之一，王義智建議平台業者應該要建立基本的安全機制，但也可以提供更進階的資安服務，並要商店業者共同承擔，但有可能要在合約或規範上明文規定，以畫清責任歸屬。

其他可能業者可能需要的資安輔導措施，王義智建議，政府可以提供免費資安服務專線，或是加強資安健診及輔導服務，讓中小型網路商店在預算有限的情況下，依然能建立起一定規模的資安機制。

但中小型網路商店的經濟規模不夠大，單打獨鬥確實很難應付日新月異的資安威脅，因此經濟部也已委託資策會執行「網路平台安全及通報機制建置計畫」，其中的電子商務資安通報服務中心(EC-CERT)，更希望能提供業者資安事件通報應變與早期預警等聯防機制，並以「電子商務信賴安全聯盟」落實資安聯防機制，有效提升電子商務產業鏈整體安全等級，建立安心、信賴之交易安全基礎環境，增加民眾參與電子商務的意願與信心，直接帶動電子商務安全相關產業的發展。

但由於EC-CERT才上路不久，目前仍有六成以上的中小型網路商店，並不了解EC-CERT提供的各種服務，但有74.8%的店家認為，政府輔導成立EC-CERT有其重要性，且目前已有42.4%的店家，有意願使用EC-CERT，50.4%的店家持普通看法，沒有意願的店家僅7.2%，而對EC-CERT最主要的疑慮，有58%的店家只是因為沒有使用經驗，顯示只要對店家持續宣導EC-CERT，必能有助提高其使用意願。

EC-CERT可提供店家資安服務

目前加入「電子商務信賴安全聯盟」會員即可擁有EC-CERT提供的服務，包括發佈有關電子商務事件統計、惡意網址、入侵事件、網路詐欺、電子商務白/黑名單等資安警訊通報。此外，調查中有48.8%的店家希望提供的資安服務專線，EC-CERT也會受理有關電子商務的資安熱線諮詢電話服務。

於發生資安事件時，可向EC-CERT通報及請求支援。EC-CERT會依據「電子商務資訊安全通報機制規範及作業準則」，提供會員「電子商務交易安全規範」導入及教育訓練等諮詢，而聯盟會員需資安技術協助時EC-CERT也會提供資訊安全技術解決方案諮詢，或轉介資安專業廠商服務。

這些服務也正是調查中超過四成以上的店家，有意願接受的資安輔導協助，但同時也約有五成的店家，希望政府能夠訂定網路安全與交易機制的相關法令，是未來健全電子商務交易秩序，值得注意的方向。