從台北智慧支付平台資安事件,看台灣支付體系的資安監管大漏洞

這個禮拜最大的新聞,應該在於集合了所有許多支付業者跟繳費資訊的台北智慧平台上路。上路的新聞不大,但資安的漏洞卻掩蓋掉了這個立意良好的平台原本可以發揮的功用。
評論
評論

本文由讀者「試金石」投稿,INSIDE 編審後刊登。

這個禮拜最大的新聞,應該在於集合了所有許多支付業者跟繳費資訊的台北智慧平台上路。上路的新聞不大,但 資安的漏洞 卻掩蓋掉了這個立意良好的平台原本可以發揮的功用。

台北智慧支付平台的標案有兩大部分

據了解,這個平台分為兩階段執行。第一階段系統標,第二階度支付標。

第一階段是藍新科技以七百多萬標得這個標案,負責建置相關系統。有人說,一個支付系統,只花七百萬?政府太摳門了吧!

只有七百萬,沒有人能夠做出一個支付系統,真正的關鍵卻沒有人去了解。其實,這個系統的主體是後端的整合資料庫,跟相關 API 的資訊整合。換句話說,它根本不是個 Pay!它是個只是個查詢平台。

而第二階段,由支付業者投標,得標者才能進入平台。業者私下抱怨,代收一張停車單,只能賺 0.04 元的代收費用,如果透過超商繳費,超商卻可以賺將近四塊錢的代收費用,支付業者為了進入平台,利潤微薄也只能咬牙苦撐,算一算甚至量不大的話根本是賠錢。這個階段的得標業者有:玉山銀行、台新銀行、愛貝錢包、Pi 行動錢包、街口支付、歐付寶、橘子支、台灣支付。

所以,七百萬去做一個這樣的平台貴不貴?代收一張停車單只能賺 0.04 元好不好賺?公道自在人心!

台北市能,中央政府卻不能?

大家可以看一下, 全國繳費網 是由誰建立的?然而這些繳費的管道是哪些?再來看看台北市的智慧支付平台,繳費的管道是哪些?

前者,全都是銀行!後者,第三方支付業者居多!

也就是說,台北市政府在支付這端,選擇了一個可以跟上嗡嗡嗡市長進度,可以跟隨市場競爭而變動的新興行業。這也符合他的個性。

而這件事情,台北市花了一年搞定,台灣要花多久時間?我們來看看,到現在連財金公司的台灣 Pay 已經上線兩年了,都還在氣喘吁吁的跟進、整合式的 QR CODE 只聞樓梯響。

這其實是為什麼嗡嗡嗡市長在記者會上面說,如果台北市成功了,中央可以整套拿去用。

中央政府逼台北智慧支付平台做自己的政績

再看另一個引發民眾抱怨的重點是:為什麼使用一個 App 要用另一個 App 來驗證?

要使用智慧支付平台的 App,卻要下載「群信行動數位科技」的「我的號碼」這個電信身分驗證?

原來,這就是當時典禮儀式上,那大拉拉的亞洲・矽谷四個大字之下的產物,「我的號碼」第一次對外大規模使用。

既然是一個支付的中介平台,為什麼要使用這樣的機制呢?

支付的本質,不管是誰幫誰繳費,政府只要收到費用,不就好了嗎?為何要增加這個認證呢?是未來發展的考量?還是幫亞洲・矽谷做政績?

藍新科技難辭其咎,更提醒該檢視電子支付與第三方支付廠商的資安專業度

回頭來看,這次得標的系統建置商藍新科技,除了是老字號的第三方支付紅綠藍三家(紅陽、綠界、藍新)之一以外,更是台灣第一批獲得電子支付執照許可的專營電子支付機構。後續獲得威盛旗下的全達(8086)以七億的資金購買藍新過半股份。

理論上而言,應當藍新本質上就有開發的資安知識與能力,才能獲得專營執照吧?但此次的開發案中,連一個最小的 SSL 憑證都沒加密,就交付北市府使用。這樣低落的資訊安全專業,難道不該了解一下嗎?

三不管地帶的支付安全,到底由誰來把關?

智慧支付平台結合了金流、資訊流,包含了銀行、第三方支付、電子支付業者。

第三方支付業者目前一定是透過信用卡進行交易,這不也是金管會管轄的範圍?電子支付機構的主管機關是金管會,銀行的主管機關也是金管會,通通都是金管會管的。

難道沒有人納悶,在大家討論台北智慧支付平台資安事件的此時,我們卻完全看不到金管會跳出來呢?是當作沒自己的事?還是不知道怎麼處理這件事?

李主委,你在立法院回答質詢的時候說,連 ATM 轉帳都算電子支付了,智慧支付更是電子支付的一部分,現在有問題,你不出來管管嗎?


Akamai 擁有最卓越的執行能力,獲《Critical Capabilities》肯定

Akamai 是全球最受信賴的數位體驗保護和遞送解決方案供應商,連續四年獲得《Magic Quadrant for Web Application and API Protection (WAAP)》評選為領導者。
評論
圖片來源:Akamai
評論

Akamai Technologies, Inc. 是全球最受信賴的數位體驗保護和遞送解決方案供應商,在 2021 年《Magic Quadrant for Web Application and API Protection (WAAP)》(網路應用程式與 API 保護 (WAAP) Magic Quadrant) 中,獲 Gartner 評選為領導者。

Gartner 分析師評鑑 11 家廠商,並依據各廠商願景之執行力和完整度給分。在採用新命名的報告中,Akamai 在執行能力方面獲得最高評價。這份報告是 Gartner《Magic Quadrant for Web Application Firewalls》(網路應用程式防火牆 Magic Quadrant) 的進化版本,而 Akamai 在過去四年連續獲 Gartner 於該報告中評選為領導者。

Gartner 也發表了 2021 年《Critical Capabilities for Cloud Web Application and API Protection》(雲端網路應用程式與 API 保護的關鍵功能) 報告。這是 Gartner《Magic Quadrant for Web Application and API Protection》(網路應用程式與 API 保護 Magic Quadrant) 的配合報告,此報告評估了 WAAP 產品保護網路應用程式與 API 的能力。在此報告內,Akamai 於四大使用案例的其中三項皆獲得最高分,包括 API 安全與 DevOps (3.60/5)、高安全性 (3.76/5),以及網頁規模的業務應用程式 (3.91/5)。

根據 Gartner《Hype Cycle for Application Security, 2021》(2021 年應用程式安全技術成熟度曲線) 指出:「雲端網路應用程式和 API 保護產品是雲端遞送式多功能網路應用程式安全產品,且須整合至少四項核心功能:網路應用程式防火牆、DDoS 保護、機器人程式管理和 API 保護。WAAP 是網路應用程式防火牆所扮演之角色的進化版,而此進化是因為企業需要更有效地防禦多種威脅手法,同時大幅增加對外公開的網路應用程式和 API。」

Akamai 親眼見證叫用 API 的幅度大幅增加。為了確保 API 安全,需要量身打造的解決方案,以因應深度 API 訊息檢查、API 規格管理、驗證與授權,以及反自動化等問題。

Gartner 表示:「安全與風險管理領導廠商所選用的 WAAP,應能夠提供容易使用的控制功能,並可針對先進機器人程式與日益進化的 API 攻擊,提供更為專門的保護。」根據 Gartner 指出:「到 2026 年時,40% 的組織會根據進階 API 保護及網路應用程式安全功能來選擇 WAAP 供應商。」

Akamai 相信,全方位的網路應用程式和 API 保護解決方案需包含相鄰安全功能,以涵蓋範圍不斷擴張的威脅。在 2020 年,Akamai 推出首款引進自動化 API 探查與分析功能的雲端 WAAP 解決方案。

Akamai 在今年推出調適性安全引擎,這是其網路應用程式安全產品組合的核心基礎,其設計可自動因應攻擊的複雜程度來調整防護,同時減少維護和調整規則的工作。另外亦包含機器人程式能見度與緩解能力,以針對機器人程式對數位資產的影響提供深入剖析。

Akamai 應用程式與網路安全產品管理副總裁 Amol Mathur 表示:「網路應用程式與 API 安全有一項不變的特質,那就是變化 Akamai 持續在 WAAP 產品中推動大幅進展,讓我們的客戶能更輕鬆跟上迅速加快與變動的威脅情勢,同時提高營運效率並增加開發人員工具。我們相信 WAAP 產品組合的這些重要進展,是讓我們在 Gartner《Magic Quadrant》報告中贏得領導廠商地位的功臣。」

Akamai 技術支援和管理服務,持續獲得客戶肯定

根據報告指出:「Akamai 的客戶在客戶支援體驗方面,給予該廠商極高評價,包括他們從技術支援和管理服務獲得的專業知識和協助。」

此外,Akamai 保護資料、網站和應用程式的能力,以及其網路安全解決方案的使用簡便性,均獲得客戶的認可。

根據 2021 年 9 月 20 日的 Gartner Peer Insights 評論,以下是 Akamai 客戶的意見:

  • 一位服務業的技術主管表示:「這套軟體 (Kona Site Defender) 擁有絕佳的功能,可保護企業資產和組織資源免受 DDoS 攻擊和各種網路威脅的影響。它在處理威脅時能提供高準確度。它能以更準確的方式保護網站和裝置,包括行動裝置在內。它能封鎖與廣告相關的惡意網站和內容,這些都可能損害企業安全。」
  • 一位零售業的軟體開發工程師表示:「適用於 DDoS 和網路應用程式攻擊的最佳安全產品。KSD 是我用過最好的安全工具。它簡單易用,而且具有出色的支援能力。KSD 提供可自訂的保護機制,這非常有用,且其功能都相當實用又切中要點。」
  • 一位金融業的網路自動化專家表示:「我們與 Akamai 合作以保護我們的核心資產,而每一分錢都值回票價。我們每年都會進行一次 DDoS 模擬演習,以測試 Akamai DDoS 和 WAF 的控制功能,而測試結果證明我們的投資是值得的。」
  • 一位金融業網路產品經理指出:「Kona 提供了顯著的安全改善,並且賦予我們過去無法獲得的可見度。它是我們的策略中的核心產品,以確保提供給客戶的應用程式安全無虞。」

歡迎於此處免費參閱 2021 年 9 月 20 日所發表的 Gartner《Magic Quadrant for Web Application and API Protection》(網路應用程式與 API 保護 Magic Quadrant) 完整報告,內含 Magic Quadrant 圖表。如需有關 Akamai WAAP 產品的額外資訊,請造訪此處

本文章內容由「猿聲串動」提供,經關鍵評論網媒體集團廣編企劃編審。