回到頂端
|||
熱門:

零缺失通過! 全台第一座 鑑識技術與資安雙認證實驗室 勤業眾信:APP資安漏洞浮現 避免惡意程式侵害有五招

中央社/ 2016.07.18 00:00
零缺失通過! 全台第一座 鑑識技術與資安雙認證實驗室 勤業眾信:APP資安漏洞浮現 避免惡意程式侵害有五招

(中央社訊息服務20160718 16:25:56)手機APP功能已成為現代人方便的生活工具,但隨著業者搶攻手機APP市場與商機,APP被置入惡意程式的「資安漏洞」問題也愈來愈多。勤業眾信聯合會計師事務所宣布,「資安科技暨鑑識分析中心」零缺失通過「行動應用APP基本資安檢測實驗室」資格認證,將以數位鑑識實驗室的雙重高規格,協助企業檢測APP防護資安漏洞。「資安科技暨鑑識分析中心」同時獲得ISO17043國際認證,成為全亞洲民間首座、也是全台唯一的「數位鑑識領域能力試驗執行機構」,能為全台所有數位鑑識實驗室的技術水準進行把關。

勤業眾信聯合會計師事務所今(18)舉辦「鑑識技術與資安實驗室雙授證發表記者會」,勤業眾信總裁郭政弘指出,近日傳出銀行ATM遭盜領事件,姑且不論破案與否,社會大眾更關心的是銀行業應全面檢測資安是否出現漏洞,或資安系統能否防範不法份子最新的犯罪手法。此外,除了銀行業者,所有運用網路科技、資訊通訊科技服務的公司,皆必須加重對資安防範資源的投注,以避免造成企業機密外洩影響客戶及社會大眾權益。

勤業眾信企業風險管理諮詢公司執行副總經理吳佳翰表示,新興科技的發展伴隨而來的是風險議題,目前資訊服務爆炸性發展,使企業APP成為實踐「營銷一體化」的重要推手,APP不僅深入使用者的生活場景,也有助企業即時掌握銷售紀錄、倉儲管理、市場情報等關鍵資訊。不過,吳佳翰指出,由於目前大眾所使用的APP有七至八成是免費的,而由於APP資訊架構較傳統系統複雜,且承載更多機密資訊,且企業APP多半委託外部廠商開發,容易造成資訊安全漏洞、成為駭客攻擊標的,不可輕忽。

吳佳翰說,台灣企業目前APP資安管理尚在萌芽階段,調查指出約五成企業無編列預算確保APP安全性,建議企業應多參照國際最佳實務防範風險。勤業眾信「資安科技暨鑑識分析中心」繼2014年取得ISO 17025認證,成為全台民間首座數位鑑識領域實驗室後,今年亦「增項」且零缺失取得「行動應用APP基本資安檢測實驗室」認證,成為經濟部工業局上半年度推動行動應用APP安全認證機制以來,台灣第一家通過認證的合格檢測實驗室。

吳佳翰指出,面對行動應用APP安全層出不窮的問題,應避免行動資安遭惡意程式侵害。勤業眾信「2016年行動應用APP之安全檢測報告」指出需靠五招:首先,應注意行動應用程式發布的安全性,以防止合法APP遭到偽冒或非法存取個資;第二,應進行敏感性資料保護,以防止敏感性資料以純文字格式直接儲存於資料庫欄位,或未進行加密傳輸;第三,可透過付費資源控管資安,要求付費資源使用前需進行身份認證及主動通知使用者;第四,為了防止交易資料未進行完整性驗證與防護,應設立身分認證、授權與連線安全管理機制;最後,為了防止使用具備公開弱點的程式集,或未核實使用者輸入資料正確性,應驗證行動應用程式碼安全。

此外,勤業眾信「資安科技暨鑑識分析中心」今年5月再獲得ISO17043國際認證,成為全亞洲民間首座、也是全台唯一的「數位鑑識領域能力試驗執行機構」。勤業眾信企業風險管理諮詢公司資深副總經理曾韵表示,目前全亞洲只有中國司法部與公安部第三研究所實驗室取得此領域認證,勤業眾信取得本項認證,代表能為全台灣所有數位鑑識實驗室的技術水準進行把關,未來無論是調查局、刑事局或其他民間等實驗室,一旦經過勤業眾信能力試驗機構的評核後,得以證明其符合出具國際規範鑑識分析報告的資格,技術能力也才符合國際等級要求。

勤業眾信企業風險管理諮詢公司副總經理溫紹群也指出,現在當紅的手機遊戲APP「Pokemon GO」可能出現的資安問題,並呼籲:「別讓皮卡丘變成資安大盜。」溫紹群說,根據報導指出,上一代的Pokemon GO應用程式,要求使用者採用Gmail認證,這可能會讓軟體供應商取得進入Gmail取得資料的權力,這引發使用者的資安質疑,導致新一代的Pokemon GO已經修正的這的認證機制。

勤業眾信企業風險管理諮詢公司協理劉婉蓉指出,藉由遵循ISO認證的獨立性要求,勤業眾信「資安科技暨鑑識分析中心」得以秉持中立性原則,為企業內部舞弊情事和資安漏洞進行把關。劉婉蓉說,如同勤業眾信舉報中心實務經驗發現,80%以上企業舉報機制明顯失靈,具中立性的吹哨者機制,才能使企業員工獲得高度隱私保護。

劉婉蓉建議,企業要建置有效的吹哨者機制,至少應掌握以下三點:第一,暢通舉報管道:企業應提供內外部人員各類舉報管道,例如郵件、電子郵件、網站、電話、傳真等,管道愈多元愈能擴展舉報來源;第二,保密舉報者資訊:企業祭出高額獎金卻未能有效增加舉報件數,主要原因在於舉報者擔心身份曝露,因此保密機制將是舉報制度核心重點;第三,確認與過濾案件:暱名舉發資訊若遭有心人士利用,可能成為散布黑函的工具,因此應審慎檢視舉報案件真實性,以避免成為亂源的溫床。

訊息來源:勤業眾信聯合會計師事務所

本文含多媒體檔 (Multimedia files included):

http://www.cna.com.tw/postwrite/Detail/197393.aspx

社群留言