電子交易安全與風險控管

電子交易安全與風險控管

趙文衡

台灣日報,20031023

近幾年來,ATM盜領與信用卡偽造案層出不窮,尤其是日前發生的大規模偽造提款卡與盜領案造成社會極大的不安,使得電子交易安全與風險控管問題到了不得不加以正視的地步。原本運用資訊通訊技術在交易上可以大幅節省交易時間與成本,是二十一世紀不可避免的趨勢,然而,在此一趨勢下,電子交易也為新時代帶來新的挑戰與風險。

在電子交易出現以前,消費者要向銀行購買商品或服務必須透過特定的人員作為中介,例如銀行行員或者金融服務人員。透過人員進行交易需要經過多道手續,消費者必須親自到銀行,持有效的身份證明,填寫單據等方能進行款項的提領。銀行行員則需對身份與票據加以認證,以確認消費者的身份與票據無誤,然後才能完成交易並進行資料登錄,整個過程十分繁瑣費時。

現在,透過電子媒介,消費者只需憑藉金融卡與密碼就可在極短的時間內同時完成身份認證、款項提領與資料登錄等工作,它的正確性與可靠性甚至比人工處理還要高。電子交易的便利大大增加各項的商業活動的頻率,因而帶動經濟繁榮,也使得廠商在日益複雜的商業環境下得以應付欲如。

然而,在享受便利的同時,新的風險也跟著出現。採用資訊通訊科技進行交易有一項重要的特徵,即電子交易可以在任何一個地方進行,若是透過網際網路,更可隨時由全球各地進入交易網站。這樣的特性使得電子交易暴露在高度的風險中。只要進入系統中改變幾個數字,身在數千里以外的一個素不相識的陌生人就可以使你我一身積蓄一夜之間全部化為烏有。

電子交易的風險來自於兩個層面。一為技術層面,電子服務的提供者是否有足夠的科技能力防止來自全球各地對系統的可能入侵,以及是否有能力提供消費者難以偽造的身份認證?以這次盜錄偽造ATM卡的例子來說,卡片防偽功能不足是讓歹徒得逞的主要原因。這是一個科技的問題,科技問題應由科技解決,加強防偽功能及強化認證程序應為不二法門。但需要注意的是,這些防偽功能與認證程序不能阻礙交易的進行,例如設計一個過於複雜的認證程序,會使正常消費者也很難通過,反而會因噎廢食。

另一個風險是來自人為層面,也是本文要強調的重點。電子化時代的交易處理程序及管理的方式與傳統十分不同,提供電子交易服務的廠商或銀行必須徹底改變以往舊有的心態。在新時代中,快速反應的危機處理能力變得十分重要。電子交易速度快,一個環節出了問題將會使危機迅速擴散開來,等到警覺時往往已到了不可收拾的地步。要防止電子犯罪的發生或危機擴大就必須要建立一個完善預警與快速處理問題的機制。在建立這些機制時必須與硬體技術人員充分配合,有效培養迅速辨認問題的能力,並建立一個能與外界充份溝通的管道。

另一個人為風險是對處理電子交易程序的內部控管問題。電子交易的風險不止來自外部,內部控管不良也是一個重要因素。基本上任何提供電子交易服務的公司都有責任建立一個完善的電子交易監控程序。一個重要的原則是在處理交易的程序上必須採用責任分離制。採取責任分離可以避免所有程序皆由一人經手,一個程序分由不同人員完成可以增加彼此間的相互監控,減少內部人員監守自盜的可能。

這個原則同樣適用於公司內部對資料安全的控管。電子交易的紀錄及各項資料皆是以電子形式儲存,一筆交易的完成所表現的只是一筆電子資料的修改,許多金融犯罪都是藉由資料修改來達成,因此,資料的保全變得十分重要。除了防止外人入侵資料外,公司內部要建立一套資料控管的程序,例如限定只有經過授權的人員才能處理資料,並建立資料修改的追蹤程序等。

最後,需要注意的是安全機制遭破壞後的賠償責任問題。基本上,只要不是明顯的出於消費者的疏忽,消費者皆不應自我承擔安全機制失靈後的損失。如果讓消費者負起較大的責任可能導致消費者對電子交易的卻步,甚至造成相關單位,例如銀行及商店,對仿偽措施的鬆懈,兩者皆會降低電子交易應用的普及率。像這次ATM盜領案,銀行第一時間內並未出面承擔賠償責任,即已違反銀行在電子交易上所應負起的義務。

在台灣歷來關於電子商務應用的調查中,不論是消費者或者是廠商,「安全」問題皆是他們採用電子交易時的最大顧慮,這樣的顧慮可能會阻礙台灣電子商務的發展,進一步影響整體競爭力的提升。為了迎接數位化時代的到來,我們應由軟硬體雙管齊下來提升電子交易的安全性。硬體方面有賴科技發展,並非完全在我們的掌控中,比較可以掌握的是建立一套良好的安全控管程序並改變舊時代的管理文化。新的管理文化特別重視速度與風險的概念,企業需要灌輸員工每一個過程都不能疏忽的嚴密監控觀念。事實上,多數的電子交易犯罪都是在軟硬體同時出現漏洞才可能成功,在硬體上的侵入防不勝防的同時,增加軟體上的防護是一個可行的方法。