相信大家都有網路購物的經驗吧!例如到PChome、露天、蝦皮等電子商務平台上購物真的很方便,只要將自己喜歡的商品放到購物車,再進行線上結帳的動作,過幾天後商品就會自動送到你面前,雖然這種購物只要信用卡輕輕一刷、資料填一填就完成了,但大家有沒有想過,這些資料都是個人的機密性資料,如果這些電子商務平台的網站安全性不夠好,駭客駭入後端系統,不就可以取得大家的機密性資料了嗎?這可能會被駭客當作賺錢的方式賣給有心人士,或者自行加以利用,這對大家來說是非常危險的,相信很多人都有接到詐騙電話過吧!大家不會很好奇為什麼這些人會知道你的資訊,而且又了解得那麼清楚詳細,就好像是算命師一樣,但其實這只是您們的個人資料在某些平台上或其他管道暴露在網際網路上,這些人只要取得您的資料,當然也能知道你什麼時候買了什麼,或訂了什麼房,去哪裡玩等等,只要再多一些技巧,就可以把你騙得團團轉,造成您的錢財損失,甚至其他損失。
而換成是電子商務平台的老闆,當然也會擔心他們自己的平台安全性有沒有做好,不希望因為安全性的問題,而造成客戶資料外洩,進而可能破壞廠商的名聲,但當公司內部又沒有足夠的知識和能量時,如果有個可以諮詢和協助的管道,對於這些電子商務平台的廠商來說,不就是個好消息嗎?
因此,目前台灣除了前幾篇文章提到的TWCERT/CC之外,當然還有另外一個專門針對電子商務平台的安全性進行協助的單位,叫做EC-CERT 是 Electronic Commerce - Computer Emergency Response Team 的簡稱,他們的目的是經信賴、保密之通信管道,通報、交換、與分析電子商務網路所發生之資安事件、威脅弱點、攻擊模式、解決方案、最佳運作規範等早期預警情資;並於突發狀況發生時,提供緊急應變處理建議,有效減低災損、快速復原,以確保台灣所有電子商務網站暨系統運作順暢。他們也會不定期舉辦演講及教育訓練課程等,有興趣的一定要好好的Follow他們喔!
經濟部商業司為提升我國電子商務產業鏈整體安全,委由財團法人資訊工業策進會執行「電子商務交易安全推動計畫」,於2011年成立「電子商務資安服務中心(EC-CERT)」。主要任務為提供電子商務業者資安相關服務,如資安事件諮詢、訪查、協處與早期預警等,建立電子商務資安聯防體系,以提升電子商務業者資訊安全防護能力。目標「提升電子商務產業安全與應變能力」、「奠定產業跨國發展之資訊安全基礎環境」。建立安心、信賴之交易安全基礎環境,以提高民眾參與電子商務的意願與信心。
除了上述之外,EC-CERT也有加入兩大國際資訊安全組織,分別為APCERT及FIRST,定期會參加國際性攻防演練,及國際性資安年會,透過不斷的鍛鍊,提升EC-CERT內部的資安應變能量,以確保有足夠的能量來好好守護台灣的電子商務平台,讓民眾線上購物時開心,也買得安心。
EC-CERT提供電子商務業者會員之資安服務,簡要說明如下:
一、資安事件通報與應變處理
服務對象:所有電子商務業者會員
服務內容:當電子商務業者會員發生資安事件,遵照「電子商務資安通報機制規範及作業準則」規定進行通報,將依照「電子商務資安服務中心內部標準作業程序」,執行資安事件應變與處理,提供事件通報電子商務業者必要之諮詢服務與技術協助。
二、資安諮詢服務
服務對象:所有電子商務業者會員
服務內容:設立服務信箱、諮詢專線窗口,針對疑似發生資安事件之電商業者提供主動資安諮詢服務,協助研判事件問題及資安技術諮詢。
三、資安事件訪查與協處
服務對象:所有電子商務業者會員
服務內容:透過資安事件訪查標準流程規劃執行,經資安事件訪查後,若電商業者需要進一步資安技術協助,將由電商資安中心提供資安事件協處服務。
四、輔導電子商務業者導入CNS27001
服務對象:所有電子商務業者會員
服務內容:透過遴選作業,從中選出體質優良又具發展性之電商業者,並輔導導入CNS 27001,並培訓其他電商業者認識CNS 27001。
五、資安警訊發布服務
服務對象:所有電子商務業者會員
服務內容:透過主動蒐集各類資安威脅資訊,與國內外資安組織進行資安情資交換並加以彙總、分析、判讀,不定期以電子郵件、手機簡訊方式,提供會員有關電子商務最新資安漏洞訊息、惡意網址、入侵事件、網路詐騙等資安威脅警訊與防護措施建議,以使電子商務業者可提早因應防範,減少資安風險及可能造成的損失。
另外,也定期產出駭客中繼站網域及IP清單,電子商務業者藉由將中繼站黑名單更新至資安防禦機制,可有效防止用戶端連線惡意中繼站,防堵資安事件發生及機敏資料外洩。
聯絡EC-CERT
• 專線電話:02-6607-2056
• 傳真:02-6607-2026
• E-Mail:service@ec-cert.org.tw
• 官網:http://ec-cert.org.tw/
(感謝Alian分享相關資料)