:::
產業技術評析
後疫時代 中小企業的資安應用趨勢與挑戰
發表日期:2020-12-09
作者:童啟晟(資策會)
摘要:
智慧科技與數位服務的蓬勃發展,中小企業在數位經濟的浪潮下,更希冀透過新興技術解決傳統人力、管理效率等經營上的問題,於是透過人工智慧(Artificial Intelligence, AI)、物聯網(Internet of Things, IoT)、數位服務平台強化自身競爭優勢進而邁向數位轉型。
全文:
智慧科技與數位服務的蓬勃發展,中小企業在數位經濟的浪潮下,更希冀透過新興技術解決傳統人力、管理效率等經營上的問題,於是透過人工智慧(Artificial Intelligence, AI)、物聯網(Internet of Things, IoT)、數位服務平台強化自身競爭優勢進而邁向數位轉型。臺灣有超過140萬家的中小企業,是臺灣經濟發展的重要支柱,但於疫情之後,在資訊安全的觀念與應用上更顯得資源匱乏;此外,面對萬物皆可駭的各類嚴峻的資安威脅,必須要有更積極進取的機制,畢竟中小企業準備藉由資安達到轉型,就像一邊跑步一邊換衣服,的確是難上加難。
數位服務蓬勃發展對於產業的影響,毫無疑問是以數位轉型最為重大。但中小企業發展數位服務不盡然聚焦在數位轉型,反而以經營管理服務、客戶關係維護、以及開拓新市場為主。從3G到4G,乃至於5G服務,行動寬頻對於中小企業的影響相當重大,沒有任何一家業者不需要寬頻服務。另外,平台經濟的興起與網際網路服務的發展有密切的關係,平台服務業者透過不同的服務模式,串聯了供給與使用兩端的用戶,同時也帶動了供需兩端、甚至讓原本競爭的業者,運用開放介接(Open Application Interface, Open API)進行合作串聯。可見行動應用、平台服務、開放應用等三大驅動力對臺灣中小企業發展的影響甚鉅。
一、 中小企業在行動應用的資安挑戰
隨著物聯網的發展,政府部門、零售、製造、健康醫療及娛樂等業者投入物聯網的技術解決方案及基礎建設,且提供對應的行動應用Apps供用戶使用。例如,提供日間照顧服務的業者可能會安裝物聯網裝置:攝影機,於日間照顧中心內,並有Apps供用戶可以即時觀看被照護者的即時影像。但所面臨的資安議題則是很可能因為大規模的阻斷服務攻擊(Distributed Denial-of-Service Attack, DDoS)而無法使用Apps觀看攝影機即時影像,或是即時影像的觀看存取權(Access Right)受到駭客侵入而影像遭流出。這些提供創新服務的物聯網暨行動應用業者往往是中小企業或新創業者,為確保企業的商譽以及用戶的權益,行動應用的資訊安全應做好上線前的檢測。
行動安全除上述檢測重點外,更重要的是行動應用下產生的資料安全。剖析行動應用服務的生態體系結構,可能包含行動應用服務的營運業者、系統開發業者、雲端平台業者、加值服務的提供者等;對於服務所產生的資料,存取的安全、資料的所有權應透過相關法律顧問諮詢予以釐清。
二、 中小企業在平台服務的資安挑戰
平台服務的成功關鍵來自串聯供給端及需求端,使得雙方在需求服務上取得滿足,並累積更多的平台優勢,進而增加平台競爭力。以最近火紅的外送平台為例,外送平台提供餐廳店家一個新的銷售管道(雖然是以外送為由,但對餐廳而言是一個全新的銷售通路),並也讓外送員在平台上取得了兼職外快、甚至是全職的工作機會,這不但滿足了餐廳跟外送員雙方的需求,另外每一次的外送服務,將使得外送平台的市佔率或口碑得以擴張,吸引更多餐廳及外送員投入平台。平台服務主要分成三類:提供無形資產的服務類型平台、實體資產服務媒合或體驗、金融相關服務或產品。
表1 平台類型及資安關鍵議題
|
項次
|
類型說明
|
舉例
|
面對的資安問題
|
|
1
|
無形資產的服務類型平台
|
不屬於有形資源的代理或媒合服務,向外送、居家清潔、物流服務、專業技能支援等都屬於此類型,如叫車代駕平台、美髮服務媒合平台、美食外送服務等
|
使用紀錄與人員動向及定位訊息的揭露與保護
|
|
2
|
實體資產服務媒合或體驗
|
實體資產的互惠或共享服務,如家電出租:媒合供需雙方運用平台媒合兩方短期家電是用即出租的需求。另外如將閒置的私人停車位分租出去給有需要的人使用,透過平台的媒合可以幫助消費者找到適切的停車位
|
人員媒合、供需兩端的個資保護
|
|
3
|
群眾相關服務或產品
|
透過平台快速媒合人資、金融財務等的供需兩端,如群眾募資、金融借貸等的服務模式
|
金流機制,以及群眾相關服務或產品的標準合約保護
|
資料來源:資策會MIC ITIS研究團隊(2020/12)
平台提供的是一種加值服務,提供服務的對象大多是中小企業業者,但平台服務的資訊安全也因為多元角色的參與而顯得更加複雜。三種平台服務都涉及人員媒合、供需兩端的個資保護;隨著歐盟一般資料保護法(General Data Protection Regulation, GDPR)的制定實施後更加被各國企業重視,在平台加值服務的完整性與消費者及服務供應商的隱私權如何取得一個平衡,是所有平台都將面對的棘手問題。
三、 中小企業在開放應用的資安挑戰
開放資料及其相關的應用服務在這幾年逐漸嶄露頭角,主要開放應用分成兩類:
● 第一類提供民生公共服務。如臺北市自來水鉛管分布地圖、空氣品質監測公開資料、口罩地圖…等,這些開放應用服務主要是民眾有感的應用服務。
● 第二類是企業間合作服務的系統介接,鏈結公私部門、或是企業間的服務串接,將既有功能擴增、提高功能服務及運作效率。
中小企業在管理上較為敏捷,跨業、跨域合作上的意願也較高,透過開放應用介接的合作模式接受度也較高。但不同系統、不同開發商進行API整合時,可能會使系統穩定度下降,造成系統不穩、當機、或是資料上的遺失。所以在開放應用上系統介接的規格必須要花更長時間進行溝通,在資訊安全的系統回復、備份及網路漏洞攻擊上需要更強化,尤其慎防植入網頁後門,被取得內部橫向控制,而使得內部主機其他服務的帳號密碼外洩造成資安疑慮。
四、 結論
隨著萬物聯網及新興智慧科技的蓬勃發展,加上5G已正式營運,也預期各資訊服務業者將以專網形式提供解決方案打造更多的領域應用,將帶動許多創新數位服務的快速發展,資訊安全勢必是各領域首當其衝所要面對的問題,分析臺灣的中小企業在後疫時代下所衍伸之資訊安全議題,歸納趨勢如下:
(一)行動應用的資料安全帶來新商機
行動應用的提供是一種科技化服務,服務中小企業在經營管理上模式的優化或轉型。服務會產生許多的資料,然而資料的儲存、資料的擁有權、資料的管理就會是企業資訊安全重要議題,同時資料安全也會衍伸許多創新商業模式。第一類是資料安全的保護:未來行動應用資料可能會由第三方進行管理、儲存,甚至未來會有資料損害的保險商品。另一類是如何在不侵害到資料安全的疑慮下進行資料分析加值暨應用,產生新的商業模式。
(二)平台服務與個資保護如同雙頭馬車,取得平衡是關鍵
以臺灣中小企業而言,並非是要每一個中小企業都發展得出一個等同國際級的平台服務,但中小企業如何運用平台有效鏈結客戶、打造忠實客戶,強化自身的競爭優勢將是成功關鍵。創新的平台加值服務在資料的運用上容易踩到消費者隱私的紅線,保護個資又是一個不得不做的課題,加上臺灣的隱私權意識抬頭,若中小企業能同時兼顧加值服務功能完整,並強化平台服務的個資處理,將提高使用者認同感、進而擴張市場佔有率。
(三)開放應用介接加速中小企業合作
企業合作的本質是互補核心能力的不足,通常是以外包型式進行。外包有相當多的風險存在,如外包的管理成本、外包規格完整性等,企業之間的外包合作往往難以如想像中的順利。開放應用介接將服務項目做成系統化介面,以訂閱的方式取代外包服務,提供合作廠商使用,讓企業間合作更加即時與迅速,尤其是中小企業更需要便捷的方式,補強其人力與能力不足,優化服務體系價值鏈串聯,也促成更多潛在合作機會;但另一方面,API所面對的攻擊面亦將持續成長,雖然API只是程式碼之間溝通的介面,但如何建構高可靠性、高性能與高安全性的API Security資安框架,才是未來有效協助中小企業,在透過API發展新型態數位經濟應用時,能夠安全無虞並更加速資料的傳遞與效能、防禦所有可能API進階威脅之數位轉型暨資安生態合作的商機。
(四)瞭解風險、面對風險、因應風險
大型企業與中小企業(微型企業)所擁有的資源與規模完全不同,資安策略當然不盡相同,中小企業之資安策略因為資源有限,必須借力使力。傳產與電子廠的資安策略更是大不相同,畢竟面對的場域及應用更是有相當程度的差異。但無論企業規模大小,所屬的業務型態的差異,所有企業,當然也涵蓋中小企業,則須從三個面向來因應資安風險,包括瞭解風險:藉由各項資安演練與檢測,瞭解企業資安風險與弱點;面對風險:藉由風險成因分析,建置企業完整資安防護體系;因應風險:透過資訊安全中心即時預警,縮短人工監控的時間差。再掌握威脅管理、弱點管理與災害後果管理等三要素,量身訂作與快速強化資安因應機制,包括成立資安緊急應變小組,進行資安災害緊急應變演練,訂定各項資安應變「標準操作程序」(Standard Operation Procedure, SOP)。並在數位化的工作環境中,建立對於資安的基本意識。
(本文作者為資策會MIC執行產業技術基磐研究與知識服務計畫產業分析師)
點閱數:
781
