數位身分認證 治本關鍵
個資外洩引發的詐騙或被盜用身分,是個人資安痛點。資安業者坦言,靠民眾「有自覺」實在太難,加上技術進步,一般人辨識詐騙更加困難,呼籲政府利用可信任的數位身分認證,協助企業導入網站和數位服務,讓民眾安全、可靠、便利、快速的使用各種數位服務,其實並不難。現實生活中,到銀行及電信業臨櫃辦理各種業務,雙證件、存簿、印鑑等足以證明本人身分,「數位身分」也要以「零信任」模式,靠多種資安標準層層認證。政府已規劃三年零信任架構發展,時程規劃為2022年推動身分鑑別,2023年設備鑑別,2024年信任推斷,未來將導入政府A級機關。數位發展部部長唐鳳強調,零信任架構重點在於「身分驗證」,疫情期間,數位部官員居家辦公時,數位部簽發公文必須透過生物辨識的密碼驗證,經過核可的裝置設備,確認在安全的連線環境中進行。證交所旗下台灣網路認證公司的數位身分識別服務「TWID」,攜手五家電信業者,打造手機門號認證,也廣泛應用在生活,包括報稅、健保卡系統。根據統計,2022年有42%透過數位身分識別進行手機報稅,衛福部的健康存摺使用人次也突破千萬,累積使用TWID人次超過1億次。透過台網公司電子簽署完成電信門號申請、銀行證券開戶、電子保單及學校證書等,2022年就超過200萬份。台灣身分識別及零信任架構已經定下進度,業者建議,因為產業所需要的程度不同,建議政府協助企業訂下業務及產業別資安等級,導入不同身分證明要求,避免採用同一規範,可能企業規模不等、有適應上的困難。例如澳洲現在開始採取可信任數位身分框架。在身分識別及電子簽章部分,澳洲建立的TDIF提供一個可信任的數位身分框架,訂定身分識別提供者的要求,區分身分等級從基本的IP1到標準的IP2,到最高的IP4。舉例來說,電商購物身分認證等級可能最低,但如果牽涉到股票、基金買賣,銀行帳戶高額轉帳等,身分認證等級就要隨之提升。