軟體安全性缺失成為買賣標的
瑞士的網路安全公司WSLabi於2007年7月9日宣佈一項訊息,未來將在線上公開交易或交換一些軟體的安全性漏洞和弱點予軟體相關研究人員、安全代理商和軟體公司,價格從數百美元至數萬美元不等。而此意謂拍賣軟體瑕疵的新興市場即將被打開。
WSLabi公開拍賣軟體弱點與漏洞的作法引起了很大的爭論。以往軟體安全業者於發現軟體的弱點後,會與軟體開發者合作修補安全性弱點和漏洞,待修補完成後再公開宣佈修補軟體安全性弱點之相關訊息。但該公司的新作法將導致軟體公司未來可能因為無法及時修補弱點而商譽受損。因此該項計畫雖尚未實行,卻引起了不同看法的爭辯:支持者表示,此一計畫將有助於改善軟體弱點及安全漏洞的問題,並可鼓勵對於軟體的弱點的深入研究;然反對者卻認為,如果軟體的弱點和安全漏洞因而落入有心人的手中,利用於犯罪或幫助他人犯罪,將會對資訊安全形成極大威脅。再者,把其他公司開發的軟體弱點在市場上交易,可能也會引發道德與合法性的問題。
WSLabi於瞭解這項做法可能引起侵害著作權(重製、散布、販賣軟體等行為)、營業秘密與犯罪防治等法律上的爭議及國家安全的問題後表示,他們將會審慎地過濾選擇買主,不會將研究之結果出售予犯罪者或敵國政府。雖然如此,他們的說法仍引起質疑,畢竟判斷買主是否為善意或確定身份並非易事。
Rosetta Stone是以製作語言學習軟體,教導顧客學習外國語言為主的一家公司,其總部是設立在美國之Virginia州。於2009年7月10日在總部所在地之地方法院對Google提起商標侵權訴訟,宣稱上個月Google之AdWords廣告政策的變更,其中針對商標的部份,會使得購買Google廣告之客戶包括盜版軟體業者等,可以使用未經實際商標權人許可之商標或近似之標語於其廣告內容中。 在Google搜尋引擎中之刊登廣告者可以選擇特定關鍵字來引出他們的廣告,一但顧客輸入這些關鍵字時,這些Google之廣告刊登者及讚助商連結等,也會出現在搜尋結果之中,讓顧客連上他們網頁,Google以此模式從中獲利。 Rosetta Stone表示Google此舉如同協助第三人”劫持”顧客去妨害其銷售及其商業行為。 Rosetta Stone之總顧問Michael Wu表示:「Google搜尋引擎幫助第三人去誤導顧客及不當使用Rosetta Stone之商標成為一個關鍵字使用在其廣告內文或是標題,導致於誤導顧客連結至他們的網站,而從此廣告刊登之業務中獲利。」Rosetta Stone擁有美國註冊之商標及標語如「global traveler」、「language library」、「dynamic immersion」、「the fastest way to learn a language guaranteed」而Google卻促使顧客對Rosetta Stone之商標造成混淆誤認甚至盜用於廣告上。 除Rosetta Stone之外,目前已有American Airlines及Geico等公司同樣對Google這樣的政策變更提起訴訟。 另一方面,Google之發言人表示:「尚未接到訴訟相關文件,不予置評」。
美國仍有千萬民眾無法接取寬頻網路美國聯邦通訊委員會FCC於2010年7月20 日發布第六次寬頻建設調查報告(Sixth Broadband Deployment Report),指稱「仍有1400萬到2400萬的美國人仍無法接取下載4Mbps、上載1Mbps的寬頻網路服務,並且幾乎沒有可能立即為這些人裝設寬頻網路。」從而FCC在報告中做出了「寬頻網路並未以合理、符合時代需求的方式對全民推廣佈建」(Broadband deployment to all Americans is not reasonable and timely)的結論。 自1996年通訊法(第706節)要求FCC應每年針對「寬頻普及」的狀況進行評估以來,FCC是第六次針對此議題發布調查報告。報告指出,雖然寬頻建設在過去10年中已有顯著的成長,但在如北卡羅萊納州、德州、密西西比州等地的鄉村地區,仍有不成比例的多數民眾並無法接取寬頻網路,因為網路服務提供者在這些區域中看不到佈建寬頻網路的經濟利益。 目前只有65%的美國民眾能在家中接取高速寬頻服務。今年3月公布的「國家寬頻計畫(National Broadband Plan)」,FCC則設定目標,希望利用教育方案和公私合作伙伴策略(public-private partnerships)來推動網路的基礎建設,在2020年前達到90%美國民眾可在家接取高速寬頻服務的目標。為此,FCC將重整普及服務基金,引進創新策略釋出新的行動寬頻頻譜、除去對基礎建設(包括路權與電線桿等的接取權)的投資障礙。 值得注意者,這份報告同時將家戶寬頻接取網路的基本速率從2Mbps提升到下載4Mbps、上傳1Mbps。
美國總統歐巴馬簽署通過網路安全資訊分享法案(CISA)網路安全資訊分享法案(Cybersecurity Information Sharing Act,CISA)於2015年10月27日在「參議院」通過。接著眾議院於12月18日通過1.15兆美元的綜合預算法案,並將網路安全資訊分享法案夾帶在預算案中一併通過,最後美國總統歐巴馬亦在同日簽署通過使該法案生效,讓極具爭議的網路安全資訊分享法案偷渡成功。 網路安全資訊分享法案,建立了一個自願性的網路資訊安全分享之框架,其主要內容,在讓美國民間企業遭受網路攻擊或有相關跡象時,得以分享客戶個人資訊予其他公司或美國國土安全局等相關部門,同時並讓民間企業免除向公務機關洩漏客戶個資隱私等相關之法律責任。該法案目的係期盼藉由提高網路攻擊訊息共享度來改善網路安全問題。 該法案通過引發各界譁然。修正後的網路安全資訊分享法案去掉多數保護隱私權之條款,諸如分享客戶資訊時不用再遮掉無關的個人資訊、不再禁止政府利用這些個人資訊進行監控。 美國媒體批評該法案的通過是政府最可恥荒謬的行為之一。就隱私權層面,批評者認為,該網路安全資訊分享法案仍與監控密切結合,未能解決客戶個人資料被大量外洩的風險。就程序面而言,一個正式的網路安全資訊分享法案似乎不應被包裹在大額綜合預算法案中通過。該法案通過後之執行情形值得繼續觀察。
歐盟網路與資訊安全局暨網路安全認證規則要求進行「網路安全認證機制」歐盟執委會於2019年6月正式通過「歐盟網路與資訊安全局暨網路安全認證規則(EU Regulation on ENISA and Cyber Security Certification)(Regulation (EU) 2019/881)。規則新增歐盟網路與資訊安全局(European Union Agency for Network and Information Security,ENISA)之職責,負責推行「網路安全認證機制(European cybersecurity certification scheme)」。 網路安全認證機制旨在歐盟層面針對特定產品、服務及流程評估其網路安全。運作模式是將產品或服務進行分類,有不同的評估類型(如自行評估或第三方評估)、網路安全規範(如參考標準或技術規範)、預期的保證等級(如低、中、高),並給予相關之認證。為了呈現網路安全風險的程度,證明書上可以使用三個級別:低、中、高(basic,substantial,high)。若資訊安全事件發生時,對產品、服務及流程造成影響時,廠商應依據其產品或服務之級別採行相對應的因應對策。若被認證為高等級的產品,則表示已經通過最高等級的安全性測試。 廠商之產品或服務被認可後會得到一張認證書,使企業進行跨境交易時,能讓使用者更方便理解產品或服務的安全性,供應商間能在歐盟市場內進行良好的競爭,從而產生更好的產品及性價比。藉由該認證機制所產生的認證書,對於市場方將帶來以下之效益: 一、產品或服務的提供商(包括中小型企業和新創企業)和供應商:藉由該機制獲得歐盟證書,可以在成員國中提升競爭力。 二、公民和最終使用者(例如基礎設施的運營商):針對日常所需的產品和服務,能做出更明智的購買決策。例如消費者欲購買智慧家具,就可藉由ENISA的網路安全認證網站諮詢該產品網路安全資訊。 三、個人、商業買家、政府:在購買某產品或服務時,可以藉此機制讓產品或服務的資訊透明化,以做出更好的抉擇。