网络安全局推出指导原则鼓励面临高风险交易的手机应用开发者,如银行和电商提升应用安全。受访网安专家对此表示欢迎,其中最大的挑战是开发商如何权衡用户体验和应用安全,但长期来说对各方都有益处。

通讯及新闻部长兼内政部第二部长杨莉明上星期三(1月10日),在国会针对政府国会通讯及新闻委员会提呈动议建设更安全且包容的数码社会时宣布,网络安全局推出“安全手机应用标准”(Safe App Standard),指导业者采取防护措施,加强手机应用的安全。

这个非强制性的指导标准,主要针对银行和电商等进行线上交易的应用,鼓励业者从认证、授权、数据储存,以及防骇设置这四大方面强化安全。

受访网安专家告诉《联合早报》,指导标准对手机应用开发商和企业来说是一个正向的发展,有助于我国在手机应用上创造一个全面的网安应对策略。除了社交工程(social engineering)的威胁,这次的标准也特别聚焦于技术解决方案。

业者:新措施虽使成本提升 但保护数据与维持客户信任更重要

数据存储公司Cohesity亚太地区和日本云服务和联盟总监马特·奥尔德(Matt Old)说,有鉴于数据在现今社会的重要性,任何有助于更好地管理和保护数据的措施、机制或最佳方法(best practice)都是好的。

“我认为开发人员、技术公司和任何处理数据的机构都应该考虑‘安全手机应用标准’中列出的建议和基准,将其作为保护、保障和管理数据的最低要求。”

延伸阅读

新加坡网络伙伴计划 将培训工程师掌握网安技能
联合国主管裁军事务的副秘书长兼高级代表中满泉(Izumi Nakamitsu,右起)和通讯及新闻部长兼内政部第二部长杨莉明,出席新加坡国际网络周系列活动。(唐家鸿摄)
网安局拟修正网安法令 扩大网安总监权限
网络安全局将对网络安全修正法案展开意见征询,确保法令可跟上技术和行业实践的发展、通过扩大法令覆盖范围,应对不断变化的网络安全挑战。(档案示意图)

他说,虽然在实施新措施或提升应用安全时意味着成本提升,但更重要的是企业应该了解达到标准的重要性,更好地保护自己的数据和维持客户对业者的信任。

网络安全公司CyberArk亚太区技术副总裁霍超文说,企业短期内预计需要增加投资,提升手机应用,以确保能达到应用标准,“然而,长期来说,企业可以预见的好处包括客户信心提升和更好的品牌声誉。最重要的是,它们成为网安攻击受害者的可能性也会减少,而这些攻击往往会扰乱运作”。

如何平衡开发团队和安保团队关注点是一大挑战

专家也指出,虽然当局推出标准指导业者,但现今的一大挑战就是如何平衡应用开发团队和安保团队间的关注点。

手机网络安全公司Appdome移动应用程序安全防护专家金约翰说,这是因为开发团队专注的是如何提升用户的体验,以及使用过程是否流畅,但安保团队专注的就是应用的安全,“业内就发生过为了赶上期限,开发程序在没有最新安全措施的情况下被发布,导致遭恶意软件攻击的可能性提高”。

他建议,所有以交易为基础(包括银行、付款、电子钱包和预订酒店或旅游配套等),以及储存个人敏感信息(如医药方面等)的手机应用都应考虑遵守准则。“虽然目前可能缺乏这方面的安全专业人员,但市场上有一些技术解决方案,可以协助业者达到当局提出的标准。”

网安局说,这些指导标准是根据国际标准,并与业者探讨后所制定,会随着网络安全情况的转变而更新。标准目前不是强制性的,但当局不排除未来立法要求更多非关键信息基础设施业者也实施更严格的安全措施,以保障公众利益。业者可到网安局网站浏览标准详情。