CIO Insight 調查解析(7)
根據 2024 年 CIO Insight 調查的結果顯示,零售物流業在資安防護力自我評分是僅次於金融業 7.7 分的第二高分產業。究竟是零售業在資安真的做得其他行業好?或是僅有信心比較強?
調查/CIO Taiwan· 解析/資策會數轉院金融科技中心
在歷經兩年疫情的洗禮後,零售物流業不得不進行轉型。從最早先是建立了會員制度、開立線上/網路商店並主打「X 小時內到貨」服務,或透過其專屬的 APP 管道以利行銷資訊的整合,可以看見零售物流業為將線上客群導流至線下的實體零售店消費,以提高單店門市的銷售額,開始講求 O2O (Online to Offline)面行銷,常見的手法如打卡活動與精準行銷皆屬於 O2O 的範疇。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
到了疫後開始朝多方數位轉型布局,零售物流業的策略也由 O2O 轉變為 OMO (Online/Offline Merge Offline/Online)。透過多種數位行銷與管道,鏈結既有的會員資料及店內 POS 系統,以擴大管理面與經營會員經濟,達到全通路的虛實整合營運模式。
可隨著零售物流業在布局數位轉型的過程中,因整合了消費者數據、會員系統甚至串接品牌電商與門市資料,觸及消費者的個人資料、金流以及後台的資訊系統。除面臨龐大數據量的管理危機,零售物流業也因近年的上雲趨勢,與過往相比更加仰賴於雲端或第三方業者所提供的數位服務,這也使得業者在這波轉型中不僅只是數位轉型,更需要的是資安轉型。
[推薦文章:金融產業資安解析 ]
在零售物流業常見的資安攻擊主要有三類:
一、電子郵件釣魚,員工或顧客落入社交工程陷阱,造成內部機敏與個人資料的外洩;
二、漏洞攻擊,駭客利用網站後台或程式的漏洞,進行 SQL injection 或跨站腳本攻擊;
三、因為零售物流業的門市據點眾多,若稍有不慎,容易在存取控制上發生資安破口。
[ 下載 2024 CISO Insight 資安調查報告 ]
因此經濟部為確保非公務機關落實民眾個資保護之責任,於去(2023)年8月針對零售業發布個資管理辦法,要求各大零售業者須擬定個資安全維護計畫,若未訂定計畫之業者將於今(2024)年2月起進行開罰。由此可知個資不僅為國際的關注焦點,也顯現我國政府近年來在個人資料保護的重視。
而根據 2024 年 CIO Insight 調查的結果顯示,零售物流業在資安防護力是僅次於金融業 7.7 分的第二高分產業,其零售物流業者自評結果為 6.9 分,與全產業平均分數相當,可見零售物流業者對資安的防護力仍然有信心。
然為防範潛在資安風險,零售物流業者須對各門市據點進行統一的內外網路存取管理,劃分並限制員工可造訪的內部網路及系統權限。同時,基於零售物流業的現場業務需求,因而習慣配置行動 POS 裝置給實體門市人員進行銷售與查詢作業,因此亦可朝端點防護進行部署,強化在端點活動的控管。
[ 推薦文章: 策略性資安風險管理的 4 個關鍵步驟 ]
此外,近年在政府積極宣導與推動零信任架構下,CIO 大調查顯示零售物流業近 6 成有意願導入零信任。零信任採最低權限存取(PoLP)為核心,即僅授權可存取範圍而非開放全部權限,能夠更精細的去控管多個裝置、身份甚至應用程式的存取權限。因此導入零信任可使產業組織防止憑證被濫用,與降低內部被入侵的風險,以達到較高的內部網路控管權。
因此,當談及零售物流業的數位轉型之路時,往往只探討如何利用數位工具或策略來提升服務效率及拉高銷售額,然而這僅達到服務加乘與轉型,卻不足以確保組織在遭受資安事件的持續運轉能力。
綜觀未來,零售物流業在數位工具的過程中,應同時考慮內部的資訊安全措施,才能使組織在轉型之餘同步提升防護力。唯有將資安防護納入其轉型的發展策略,才能在接下來的資安挑戰中達到產業發展的韌性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
