對企業來說,「信任」不是一張政府發出的數位憑證,而是一整套風險可控、責任清晰、驗證可靠的資安制度。近期自然人憑證遭超過 13 家金融機構集體封鎖,不只讓使用者震驚,更讓企業冷靜地重新審視:我們所依賴的信任機制,是否正變成資安的風險來源?
這不是單一工具失效的問題,而是整個國家憑證體系的信任結構遭遇重擊。尤其當Google已正式撤銷中華電信與行政院GTLSCA憑證的信任認可,這不僅象徵國際瀏覽器社群的風險評估已判定我國憑證鏈不合格,也讓企業別無選擇,只能自建或轉向商業認證機構以自保。這一連串事件提醒我們一個基本原則:再大的制度,如果不能被持續驗證並快速修補風險,最終也會淪為攻擊者的漏洞天堂。
資安是風險管理問題
很多企業常誤以為政府推出的數位機制天然可信,例如自然人憑證、法人憑證、公文簽章系統等。這種心態表面上是信任國家體系,實際上卻是資安責任的錯置。企業若在用戶身份驗證、金流帳戶開立等關鍵環節,過度依賴這類憑證為唯一驗證依據,風險將難以收拾。
以金融機構為例,一旦自然人憑證被詐騙集團大量濫用開戶,責任不會歸咎政府,而是企業本身因驗證不嚴、失職控管而面臨金管會稽查、民眾信任流失、甚至遭詐騙金流洗錢的重大法律責任。從企業風險控管角度來看,信任不是外部給予的,而是要靠內部制度來建構與驗證。企業應該發展多因子驗證(MFA)、自建KYC(Know Your Customer)流程,並持續監控、分析異常行為。當政府工具不再能提供足夠保證時,企業唯一能倚靠的,就是自己對風險的掌握力。
企業的信任成本不斷上升
企業最怕的不是技術問題,而是信任成本不斷上升,卻無法預測風險來源。當公部門的數位憑證系統被國際主流瀏覽器撤除信任、被銀行體系全面封鎖,企業必須認清一件事:任何外部提供的信任機制,都應被納入供應鏈風險管理架構中。這代表企業要重新評估對於政府數位基礎建設的依賴度,包括是否仍將自然人憑證為身分唯一辨識依據?是否有替代驗證機制可在系統故障或風險事件發生時快速切換?若答案是否定,則風險極高。
更重要的是,這也牽涉到企業對顧客資料的保護義務與品牌責任。當客戶因使用企業服務遭遇詐騙或個資外洩,對方不會去追問是哪個政府憑證出問題,他們只會追究企業的資安風控是否失靈。信任的基礎若建立在不穩定的制度上,那麼整體營運策略也將面臨信任危機的連鎖反應。
該怎麼做?企業必備三大資安對策建議
面對憑證信任崩潰、詐騙風險升高的現況,企業不該只是「暫停使用自然人憑證」這麼簡單,而是應該系統性地提升資安治理力。以下是三項建議供平台經營者與IT決策者參考:
- 建立替代性身分驗證機制:自然人憑證若不再可靠,企業必須導入更嚴謹的身分查驗方式,例如臉部辨識、生物特徵結合OTP簡訊、數位簽章與手機憑證等多因子方案。金融、電商、平台業者更應考慮結合AI行為分析進行持續驗證。
- 將政府憑證納入資安風險評估體系:不再將任何憑證視為絕對可信,而是設立監控流程,定期檢查相關憑證有效性、信任鏈狀態,以及當國際廠商(如Google、Microsoft)信任政策變動時,能即時調整。
- 強化供應鏈與法遵連結管理:對外部API串接、金流服務與第三方身份驗證服務,應要求供應商具備資安合規標準(如ISO 27001、PCI DSS),並在合約中明確界定資安責任邊界,避免風險轉嫁到企業主體。
信任,是資安最昂貴的成本。對企業來說,選擇信任什麼樣的機制,不只影響技術運作,更直接影響品牌聲譽與顧客忠誠。自然人憑證事件將是一個資安治理時代的重要案例。唯有面對問題、補強制度,企業才能真正站穩數位轉型的每一步。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
