數位轉型與資安韌性：零售物流業資訊長的必修課

CIO Insight 調查解析（7）

根據 2024 年 CIO Insight 調查的結果顯示，零售物流業在資安防護力自我評分是僅次於金融業 7.7 分的第二高分產業。究竟是零售業在資安真的做得其他行業好？或是僅有信心比較強？

調查／CIO Taiwan· 解析／資策會數轉院金融科技中心

在歷經兩年疫情的洗禮後，零售物流業不得不進行轉型。從最早先是建立了會員制度、開立線上/網路商店並主打「X 小時內到貨」服務，或透過其專屬的 APP 管道以利行銷資訊的整合，可以看見零售物流業為將線上客群導流至線下的實體零售店消費，以提高單店門市的銷售額，開始講求 O2O （Online to Offline）面行銷，常見的手法如打卡活動與精準行銷皆屬於 O2O 的範疇。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球CIO同步獲取精華見解 ]

到了疫後開始朝多方數位轉型布局，零售物流業的策略也由 O2O 轉變為 OMO （Online/Offline Merge Offline/Online）。透過多種數位行銷與管道，鏈結既有的會員資料及店內 POS 系統，以擴大管理面與經營會員經濟，達到全通路的虛實整合營運模式。

可隨著零售物流業在布局數位轉型的過程中，因整合了消費者數據、會員系統甚至串接品牌電商與門市資料，觸及消費者的個人資料、金流以及後台的資訊系統。除面臨龐大數據量的管理危機，零售物流業也因近年的上雲趨勢，與過往相比更加仰賴於雲端或第三方業者所提供的數位服務，這也使得業者在這波轉型中不僅只是數位轉型，更需要的是資安轉型。

[推薦文章：金融產業資安解析 ]

在零售物流業常見的資安攻擊主要有三類：

一、電子郵件釣魚，員工或顧客落入社交工程陷阱，造成內部機敏與個人資料的外洩；
二、漏洞攻擊，駭客利用網站後台或程式的漏洞，進行 SQL injection 或跨站腳本攻擊；
三、因為零售物流業的門市據點眾多，若稍有不慎，容易在存取控制上發生資安破口。

[ 下載 2024 CISO Insight 資安調查報告 ]

因此經濟部為確保非公務機關落實民眾個資保護之責任，於去（2023）年8月針對零售業發布個資管理辦法，要求各大零售業者須擬定個資安全維護計畫，若未訂定計畫之業者將於今（2024）年2月起進行開罰。由此可知個資不僅為國際的關注焦點，也顯現我國政府近年來在個人資料保護的重視。

而根據 2024 年 CIO Insight 調查的結果顯示，零售物流業在資安防護力是僅次於金融業 7.7 分的第二高分產業，其零售物流業者自評結果為 6.9 分，與全產業平均分數相當，可見零售物流業者對資安的防護力仍然有信心。

然為防範潛在資安風險，零售物流業者須對各門市據點進行統一的內外網路存取管理，劃分並限制員工可造訪的內部網路及系統權限。同時，基於零售物流業的現場業務需求，因而習慣配置行動 POS 裝置給實體門市人員進行銷售與查詢作業，因此亦可朝端點防護進行部署，強化在端點活動的控管。

[ 推薦文章： 策略性資安風險管理的 4 個關鍵步驟 ]

此外，近年在政府積極宣導與推動零信任架構下，CIO 大調查顯示零售物流業近 6 成有意願導入零信任。零信任採最低權限存取（PoLP）為核心，即僅授權可存取範圍而非開放全部權限，能夠更精細的去控管多個裝置、身份甚至應用程式的存取權限。因此導入零信任可使產業組織防止憑證被濫用，與降低內部被入侵的風險，以達到較高的內部網路控管權。

因此，當談及零售物流業的數位轉型之路時，往往只探討如何利用數位工具或策略來提升服務效率及拉高銷售額，然而這僅達到服務加乘與轉型，卻不足以確保組織在遭受資安事件的持續運轉能力。

綜觀未來，零售物流業在數位工具的過程中，應同時考慮內部的資訊安全措施，才能使組織在轉型之餘同步提升防護力。唯有將資安防護納入其轉型的發展策略，才能在接下來的資安挑戰中達到產業發展的韌性。

(本文授權非營利轉載，請註明出處：CIO Taiwan)