Luke：浅谈出海东南亚电商的企业安全之路

2023-12-26 16:58 Luke

作者简介：Luke，某海外电商应用安全专家，10+年通信、保险、互联网行业安全从业经验，熟悉应用安全、终端安全、数据安全、平台建设等领域。

一、东南亚电商业务

1）全球化重要蓝海，持续增长

据报告统计，东南亚9个主要电商平台的GMV总额在2022年达到了995亿美元，是2020年（疫情暴发第一年）的1.8倍，整体业务体量还在不停增长，是各路出海电商的必争之地。

同时，地缘政治和供应链转移，物流和支付基础设施方面投资增加，TikTok Shop带来影响，品牌不断深化参与，成为四个关键发展趋势。出海电商、本地电商及其上下游产业，仍在持续调整策略和打法，以适应发展趋势，避免过早被淘汰下车。

主要平台型玩家，将继续入场与退出，构建新的市场格局，包括Shopee、Lazada、Tokopedia、Bukalapak、TikTok Shop、BliBli、Tiki、亚马逊和Sendo。老牌的电商企业暂未构筑护城河，新入场的电商携资本和新玩法进入搅局，加上政策的不确定性，这仍是机遇与挑战并存的时期，只有经过政策和市场筛选的企业才能走得更远。

2）竞争日趋激烈，多元格局

我们来看看2022年全年数据，就能更好地理解东南亚电商的多元格局。

2022年Shopee GMV达479亿美元，几乎占到地区总额的一半，仍占据东南亚头把交椅。
Lazada在除印尼外的国家中仍是第二大玩家，200亿美元的GMV水平与2021年持平，追赶的势头不减。
TikTok Shop在印尼的GMV达到25亿美元，增长非常快，逐步打开新市场。
印度尼西亚电商GMV在东南亚地区总额占比约为52%，占了东南亚电商的半壁江山。
新加坡和马来西亚人均GMV排名居前，可以看到对电商渠道的倾向程度和人均购买力。随着疫情后经济复苏，各国的人均GMV也将继续增长。

3）为什么选择出海东南亚？

我们看到，近年来越来越多电商企业、品牌商选择出海东南亚，为什么会出现这种趋势？在我们看来，有如下考虑：

国家GDP：东南亚主要国家GDP增速高于全球平均水平，是典型的增量市场，将带动各行业的持续跃升。
数字经济：东南亚整体规模到2030年预计将有7-8倍的增长速度，即达到1万亿美元，这为电商发展提供了数字基座。
电商环境：全球电子商务增长TOP预测，东南亚国家继续占据重要比重，排名全球前列。同时部分国家相对宽松的政策和相对低廉的人工成本，也提供了电商持续增长所需的土壤。
出海企业：据调查，东南亚跨境企业年销售额增长约40%，企业的利润率较高，带动了更多的企业出海东南亚，寻求新的增量。
出海驱动力：东南亚和中国的文化环境高度相似，中国供应链优势基本完备，平台对品牌商出海的支持红利非常明显，让更多的中国品牌商、跨境企业跃跃欲试，成为新的战略重点。

二、关注的安全风险和解法

当然，在出海东南亚过程中，电商企业也会面临各类风险，成为制约企业业务拓展甚至关系企业存活的关键要素，比如地缘政治风险、基础设施风险等。这里，仅选取合规监管风险、隐私保护风险、数据安全风险、交易支付风险、注册薅羊毛风险、应用安全风险这几类普遍遇到的场景进行探讨，其他不做展开。

1）合规监管风险

东南亚各国在电商领域的监管制度和政策存在差异，电商企业需要了解目标市场的具体监管要求，积极应对，以确保合规性。

个人信息保护：部分国家对个人信息保护有严格的法律规定，如果电商企业违反了当地的法律法规，可能会面临罚款、监禁等法律后果。如印尼的PDP法案、泰国的PDPA等，要求电商企业必须保护用户的个人信息，禁止未经授权的数据收集、使用和分享。
金融支付合规：部分国家的支付法规也要求电商企业必须遵守当地的支付法规，如印尼的KBK、泰国的PSA，金融监管要求的PCI-DSS等。
禁售商品限制：部分国家对禁售商品有明确的规定，如泰国禁止售卖色情、暴力、反动等商品。电商平台上还会有很多假冒商品，这些假货不仅损害了消费者的利益，也影响了电商企业的品牌形象，需要关注和治理。
知识产权保护：部分国家的知识产权法律体系相对较为完善，对电商企业的知识产权保护提出了较高的要求。如果电商企业销售侵犯他人知识产权的商品，或者未获得授权而使用他人的商标、专利等，可能会面临侵权诉讼、赔偿等法律后果。

应对策略：

加强与当地监管合作，贴近当地法规实践，贡献企业价值，并合作落地新技术研究。
加强与合规协同，解读相关法律法规，识别内部风险场景，及时处置和报备风险。
聚焦高危风险，针对特殊监管风险和业务，配备本地专岗，推动跨组织和内外部应对。

2）隐私保护风险

随着东南亚电商市场的快速发展，消费者在享受便捷购物的同时，也面临着个人信息泄露和隐私保护的风险。一些电商平台可能存在个人信息泄露、数据传输不安全等问题，给消费者带来潜在的隐私风险。

非法收集个人信息：一些电商企业可能会在未经用户同意的情况下，非法收集用户的个人信息，如姓名、地址、电话号码、购买记录、竞对订单等。这些非法收集行为，可能对客户造成困扰和经济损失，将面临当地法律法规的处罚。
数据传输风险：东南亚电商业务数据在多个国家存储，实际业务处理会涉及数据传输和跨境问题，如消费者在购买商品时需要输入个人信息、信用卡信息、支付密码、物流信息等敏感信息。这些信息在传输过程中可能会被黑客截获，导致数据泄露或被滥用。
不当使用个人信息：电商企业可能会将收集到的个人信息用于不正当的目的，却未向客户披露和获取授权，如向第三方出售、用于广告推送等。这些行为可能会侵犯用户的隐私权益和财产权益。
泄露个人信息：电商企业需要处理大量的个人信息，如果安全措施不到位，可能会导致个人信息泄露。例如，黑客攻击、内部人员泄露等，都可能导致个人信息泄露。

应对策略：

合法合规经营，不违规收集客户个人信息，也不将平台数据用于不当目的，同时完善制度体系，确保个人信息保护和处理有依有据。
聚焦监管态势，针对高危场景重点补位，并成立企业内跨部门的个人信息保护组织，加强组织保障。
加强技术保障，通过全生命周期的数据安全管控，夯实安全基座，并持续加强运营监控协同，处置违规获取数据的内鬼和上下游组织，防范不当泄漏。
持续培训教育，宣贯典型的隐私数据泄漏的违规案例，并根据东南亚各国文化和语言，定制适配当地文化教育内容和形式。

3）数据安全风险

东南亚电商企业需要处理大量的业务数据，包括商品数据、订单数据、物流数据等。如果这些数据泄露或被篡改，会给电商企业带来巨大的损失，还可能因东南亚部分国家的法规面临高昂的成本。

数据泄露：东南亚电商企业需要处理大量的企业业务数据，包括商品数据、订单数据、交易信息、快递物流数据等。如果安全措施不到位，可能会导致重要业务数据泄露，给企业带来惨重的损失。
数据损坏：东南亚电商企业的数据存储和传输需要依靠各种系统和软件，如果系统或软件出现故障，可能会导致数据损坏或丢失。
数据滥用：东南亚电商企业可能会将平台业务数据用于不当的目的，如向第三方出售、用于广告推送等。这些行为可能会造成资金损失和声誉影响。
勒索病毒：东南亚电商企业涉及复杂的上下游环境，也涉及职场PC、笔记本、仓储和物流设备等各类型的接入设备，需要综合考虑多个方面的防勒索措施，比如安装有效的杀毒软件、及时更新操作系统、定期备份数据、禁止使用不安全的存储介质和网络、加强员工培训、建立数据应急响应机制、与供应商和合作伙伴保持联系以及定期进行安全审计等。

应对策略：

强化组织协同，建立企业内跨组织的数据安全防护和治理组织，拉通合规、安全、业务、产品运营和技术团队，共筑数据安全防线。
重要数据加密和隔离，对不同分类和等级的业务数据进行分层治理，建立防控措施，防范篡改泄漏。
做好访问控制，对在线数据梳理权限矩阵，做好权限控制、防爬、处置等事中事后措施；对离线数据做好权限清理、拦截、数据隔离等事前事中措施，并针对数据分析、AI训练等场景设计适配的用数方案，减少人为泄漏，防范内鬼作案。
针对重要数据做好备份，并对备份数据也做好巡检和权限管控，同时完善应急制度，做好日常演练，包括主数据和备份数据。勿让侥幸心理和不完备的演练，成为勒索病毒肆意破坏的入口。
持续培训教育，宣贯典型的数据安全违规案例，并根据东南亚各国文化和语言，定制适配当地文化教育内容和形式。

4）交易支付风险

由于东南亚金融、交易和诈骗环境更加复杂，东南亚电商交易和支付过程中存在很多安全隐患，比如网络钓鱼、恶意软件、支付密码泄露、支付信息被篡改、交易诈骗等，这些都会威胁到消费者的交易支付安全。

支付机构合规：东南亚电商企业应选择符合国家法律法规规定的支付机构，确保支付业务的安全性和合规性。这些支付机构应具备相应的资质和牌照，并严格遵守国家相关法律法规的规定。
欺诈交易风险：在电商交易中，一些不法分子可能会利用恶意软件、虚假账号、假冒身份等方式进行欺诈交易，给电商企业带来经济损失。
支付漏洞风险：电商企业的支付系统存在一些漏洞，如支付密码泄露、支付信息被篡改等，可能会导致用户资金损失或交易失败。
支付诈骗风险：一些不法分子可能会通过电话、短信、邮件等方式冒充电商企业或第三方支付平台，诱导用户提供个人信息或支付信息，进而实施诈骗行为。
第三方支付风险：东南亚的第三方支付市场相对不成熟，一些第三方支付平台存在安全漏洞和风险，如资金被盗、支付信息泄露等。

应对策略：

强化交易监督，确保合法合规，针对高危场景设立多人监督，增加内鬼作案成本，同时完善交易审核，优化交易数据监控和关联检查，防范交易数据异常。
加强支付保障，确保漏洞检测和加固时效，提升对越权操作、支付信息泄漏等业务逻辑相关性强的风险感知，构筑多层安全措施。
完善客服体系，延伸感知触角，针对异常数据、投诉等快速应对，打通资损、重大舆情场景的直通通道，补充监控机制的滞后性。
开展攻防对抗，通过多渠道对防御能力、检测能力、响应能力进行有效性验证，并针对海外业务场景，持续收集交易支付业务的威胁情报，扩大黑灰产情报感知。
持续培训教育，提升产研运营团队的安全意识，并紧跟监管合规政策、案例，加强对交易支付业务的审计检查。

5）注册薅羊毛风险

在东南亚电商领域，注册薅羊毛的风险主要来自于一些恶意行为，如滥用销售政策、恶意注册账号等，这些行为会给电商企业带来巨大的直接损失和额外的运营成本。由于一些政策和监管的因素，东南亚电商业务的此类风险往往要更加复杂和普遍，相应地，出海企业需要更加关注隐藏在业务增长中的不健康因素。

虚假注册：通过一些恶意行为，如滥用销售政策、恶意注册账号等，这些行为会给东南亚电商企业带来巨大的直接损失和额外的运营成本。
领券消费：一些买家通过批量的账号，刷取多个优惠或折扣，批量领取优惠券。然后在某些活动期间批量兑现优惠，或者折价售卖优惠券。真实用户往往无法获取到，既打击客户消费和参与活动的积极性，也容易造成企业活动费用的损失。
恶意退货：在活动结束后，一些买家可能会将购买的多件商品返还，并要求平台退还差价或优惠券价值，牟取利益。
虚假评价：一些买家可以操纵批量账号或通过发布任务，对一些商家刷好评、差评，扰乱电商环境，获取经济利益。

应对策略：

加强账号管理，对注册、登陆、在线、参与活动、订单等状态特征进行监控和及时处置，提升识别效果，封禁异常账号，减少恶意注册行为。
完善销售活动，加强业务逻辑和安全机制设计，梳理威胁场景，限制领券消费的滥用场景，并加强安全测试和监控，保障实际转化效率。
结合企业实际业务阶段，建立算法模型，对恶意账号、IP、端、定位、行为等特征进行学习，拦截恶意行为，同时减少对真实用户的干扰。
开展攻防对抗，通过多渠道对防御能力、检测能力、响应能力进行有效性验证，并针对海外业务场景，清洗异常流量，持续验证平台账号对抗水平，保障平台安全。
联动外部合作，针对东南亚电商生态，加强上下游协同，收集本地化的黑灰情报，提升黑白名单更新效果，同时讲清楚业务故事和业务价值。

6）应用安全风险

在东南亚电商领域，出海企业依然会遇到各类应用安全风险的挑战，包括内部风险、外部风险、API风险、用户输入风险、供应链风险、云上配置风险等。特别是对外透出敏感信息、可以被攻击的入口边界，需要持续加强风险运营和左移能力建设，提升整体安全水位。

内部风险：由于电商企业的业务涉及大量敏感信息，如用户个人信息、交易数据等，如果企业内部管理和员工操作不当，可能会导致信息泄露或滥用。
外部风险：东南亚电商企业面临来自复杂的外部恶意攻击，如黑客攻击、网络钓鱼等，这些攻击可能导致网站被篡改、数据泄露或服务器被攻陷等问题。
API接口风险：东南亚电商企业通常会与第三方服务提供商进行集成，如支付接口、物流接口等。东南亚第三方企业繁杂，如果接口安全性不足或存在漏洞，可能会导致用户数据泄露或被篡改。
用户输入风险：电商企业的用户输入数据是安全风险较高的环节，如果用户输入的数据未经正确验证和处理，可能会导致系统被攻击或数据泄露。
供应链风险：由于东南亚电商市场存在许多开源软件，一些开源软件可能存在安全漏洞或恶意代码，如果电商企业使用不当或未进行充分的安全检测，可能会被利用来进行网络攻击或数据泄露。

应对策略：

强化安全管理，制定完善的安全制度体系，并固化SOP为线上化、自动化流程，针对特殊场景和审批实行双岗监督、轮换岗位机制。同时，也需要重点关注高权限、高频次操作用户，监控内部违规和不当操作。
结合企业业务分布和技术架构，部署安全防御，通过多层防御能力建设，构建运营体系，并确保组织保障，提升应急响应效率，持续防护外部攻击。
建立三方审核，对透出三方的数据和接口进行事前评审和事中拦截，所有对外接口要确保安全加密，并对三方合作例行巡检和抽样审查。
验证用户输入和调用，对商品、订单、物流等查询入口要做好管控，避免来自内外部的恶意攻击。
加强供应链管理，从管理、运营和技术能力等多个方面入手，建立完善的制度和流程，通过常态化巡检，加强风险管控和漏洞修复，提高安全意识和能力。

三、演进之路

那么，当我们电商企业出海东南亚时，应该如何构建安全体系，提升安全水位？

如下是给出海企业安全建设的一种演进思路：

首先，在出海安全建设的起步阶段，我们需要关注属地合规监管，明确组织目标，同时聚焦高危风险，建立安全班底。起步阶段企业资源往往捉襟见肘，我们需要借力内外部资源，加强协同响应，避免出现重大安全事件。

接着，在出海安全建设的成长阶段，我们需要立足企业业务实际和安全基础，建立安全管理体系和相应的组织保障，完善技术防御体系，满足纵深防御诉求。同时，可以通过行业认证，增强客户信任，检验安全流程和运营体系。企业发展壮大过程，也需要厘清历史旧账，聚焦数据安全风险，串联多点产品、能力，提升数据全生命周期管控能力，并打击内外部违规。

其次，在出海安全建设的进阶阶段，我们需要引入新技术研究，打造差异化能力，引领某些领域的业界方向。同时，提升自动化运营，释放一线人力，将安全人力往能力建设、新解决方案倾斜，打造面向未来的核心能力、核心价值，沉淀企业安全智慧。这一阶段，单纯内部指标、内部讲故事，已经无法满足管理层期望，需要协同外部红蓝对抗资源验证安全成效，并建立红蓝攻防团队，加强与业界安全队伍的交流。

企业实际业务场景、风险水位不同，能获取的资源也不同，需要根据出海业务计划，因地制宜地规划本企业的安全演进之路。

四、展望

踏上东南亚电商之路，很多企业也会遇到不同的机遇和挑战，走向更多的不确定性。

1）机遇：