经新闻 (经济部官媒)
经济部推手机App基本资安标章,全球首创安全措施
作者:吴明机 / 经济部工业局局长
智慧行动化世代来临,行动通讯技术日新月异,智慧型手机、平板电脑等行动装置,已经从简单的通讯沟通,转变为生活中不可或缺的生活工具,各式各样生活应用App也应运而生。透过行动网络与金流支付,手机逐渐具备钱包、行动ATM的功能,透过银行帐户和信用卡连结,民众在商店只要手机靠近“哔”一声,就能近端行动付款,也能随时随地网购转帐付款,现代人生活已离不开手机,手机App资安重要性可想而知。
服务供应商为了能提供更贴心的服务,所设计的APP就必须蒐集更多民众个人、生活、环境等相关资讯,俾借由各种数据分析,精准提供民众所需服务;换言之,民众在使用这类智慧行动装置时,也存在敏感个资泄露的安全隐忧。这些App软件可能因程式设计一时疏忽,在未告知民众的情形下,个资就传回或暴露在未知的网络中,将带来未知的资安风险与威胁;手机与APP资安问题,也就迅速成为各国重视的课题。
台湾是全球资通讯产品的设计制造王国,拥有坚强的ICT产业实力及完整的资讯产业链。而在此全球行动资安浪潮之下,政府正积极思考,如何协助产业布局行动资安领域,提升我国App国际竞争力掌握全球商机,同时兼具保护民众在使用手机的安全环境。于是,在行政院的支持下,经过各领域专家与相关公协会的会商淬炼下,全球第一个行动应用App基本资安自主认证机制概念逐步成型。
政府推动App基本资安自主认证机制,重点在于预防重于治疗;我们希望透过规范之重点要项,提醒App开发者从设计初始阶段即导入基本资安概念,并逐步完善App自身之安全防护能力。考量我国App开发商特性,大部分都是资本额小、进入门槛低、产品变动又快,政府在规范之初,即采以辅导自主管理取代立法强制规定,结合各公协会辅导业者循序导入,逐步提升我国软件国际竞争力。
8月17日由行政院副院长张善政带领产官学研多位代表,共同启动我国“行动应用App基本资安规范”,也宣告我国行动应用App自主安全认证机制正式启航。这套自主安全认证机制,对于我国App软件资安研发能力提升,深具正面意义,未来我国如能普及实施,届时民众就能安心使用App,也鼓励年轻人投入App创作,最后也促成App检测产业发展,民众、App创作者、检测产业将成为这项机制推动的最大受益者。
据统计全球目前约有264万支App,这数据每天都在往上飙升,我国具有智慧行动装置产业发展优势,全球App资安与检测服务商机庞大,台湾必须早一步抢占全球App资安发展与检测商机,而建立我国App资安检测能量与完善制度也迫在眉睫;现阶段我国的资安规范标准与认证机制,皆依据国际标准组织标准而制定,未来民间检测实验室必须符合国家标准CNS 17025(ISO/IEC
17025)规定,并通过“财团法人全国认证基金会(TAF)”(具有国际认证组织相互承认)认证,未来App取得检测实验室认证证书,就等同于取得国际认可的资安认证保证,在国际市场上,台湾的产品就具有独特竞争优势。
App基本资安自主认证机制,系呼应国人对于行动App个资泄漏资安需求而产生,目前App资安共分初、中、高三个等级;初级就是我们下载的APP只是浏览资讯等单向功能,资安只要通过初级即可;若有双向互动连网,资安至少要到中级;倘若App还有交易功能,传递比较机密性资料,就要高级,民众可以依据App功能来加以判断资安等级,决定是否下载使用。未来在推动的过程中,政府支持开发的相关App,原则上期望都能通过这套基本资安检测,除了保障使用者资安权益外,更能在“做”的过程中,将App安全做得更加完整。
重要的是资安保护做得再好的App,也避免不了民众对于资安保护行为的轻忽,如个人帐号没有保管确实、密码太多记在手机里,密码轻易被人取走;或是轻信网络散布之钓鱼网站、诈骗讯息等,这些不当的使用行为,同样也将自己暴露在极大的风险中。提醒大家还是须善尽个人管理之责,以降低因蓄意或个人行为疏失所造成之风险及危害。
行动资安议题已是下一波物联网的决战点,善用台湾ICT产业环境与创新实力的优势,透过全球化的平台走向国际舞台,政府推动手机App基本资安标章,将能强化我国App安全开发与资安检测能量,有助于提高App产品国际竞争力,这将是台湾发展智慧生活解决方案的成功关键之一,且让我们拭目以待。
http://www.economic-news.tw/2015/10/Mobile-App-Security-Standards-Taiwan.html?m=1
政府标章……感觉一点都不安全