歐盟執委會(European Commission, EC)於2019年10月9日發布《5G網絡安全風險聯合評估報告》(report on the EU coordinated risk assessment on cybersecurity in Fifth Generation networks),為執委會調查歐盟成員國家5G網路安全風險評鑑。該評估報告將由歐盟網路與資訊安全局(European Union Agency for Network and Information Security, ENISA)後續進一步分析歐盟發展5G行動通訊所帶來的網路安全威脅。 報告中顯示,5G網路的安全挑戰,主要來自(1)5G技術關鍵創新:尤其是5G軟體重要組成部分與5G廣泛的服務和應用等技術創新,以及技術創新所帶來的安全性更新;(2)供應商:若5G通訊營運業者對供應商過度依賴,會導致攻擊者可利用的攻擊路徑的增加。 5G網路開展將帶來許多影響,包含: 隨著5G網路軟體發展,攻擊者有更多潛在切入點;與軟體有關的安全風險漏洞管理十分重要,供應商內部不良的軟體開發流程會使攻擊者容易將惡意軟件植入後門,且難以被發現。 對單一供應商的依賴也會帶來風險增加,包含供應鏈中斷風險、增加供應商變更成本、供應商受到非歐盟國家有意介入的可能性、以及在產品供應瑕疵的情況下營運業者難以採行應變措施等。 隨著5G網絡作為許多關鍵資通訊應用的骨幹,對5G網路可用性、完整性、機密性的威脅將成為國家安全隱憂,也是歐盟未來需要面對的最大的網路安全挑戰。
英國、新加坡領導全球發布供應鏈勒索軟體防護指引在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下,英國於10月24日發布「全球性供應鏈勒索軟體防護指引」(Guidance for Organisations to Build Supply Chain Resilience Against Ransomware),該指引係由英國與新加坡共同領導的「反勒索軟體倡議」(Counter Ransomware Initiative, CRI)框架下推動,旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持,標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部(UK Home Office)指出,勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告(Cost of a Data Breach Report 2025)估計,單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進,勒索攻擊已由單點入侵擴大為透過供應鏈滲透,攻擊者常以第三方服務供應商為跳板,一旦供應商遭入侵,即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件,即造成數千次門診與手術延誤,凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向,英國政府與CRI強調,企業應在營運治理、採購流程與供應商管理中系統性導入相關措施,包括: 一、理解供應鏈風險的重要性 在高度互聯的數位環境中,供應鏈已成為勒索軟體攻擊的主要目標,企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊,評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排,以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施,包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時,合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制,並鼓勵供應商採用國際資安標準,例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形(Near Miss,即近乎事故),不論是否構成正式資安事件,均應納入檢討範圍;並定期進行資安演練、共享威脅情資,依攻擊趨勢滾動修正合約與內部規範。 指引同時指出,供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性,以及資安稽核與驗證機制不足。英國政府與CRI亦強調,雖然網路保險可作為風險管理工具之一,但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業,顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構,以強化全球數位經濟的整體韌性,降低勒索軟體攻擊帶來的系統性風險。
美國發布關於標準必要專利之政策宣言草案,擬修改核發禁制令態度美國司法部(United States Department of Justice)、美國專利商標局(The United States Patent and Trademark Office)、美國國家標準與技術研究院(National Institute of Standards and Technology)於2021年12月6日共同發布「修改『標準必要專利』授權協議及司法救濟方法之政策宣言草案」(Draft Policy Statement On Licensing Negotiations And Remedies For Standards-Essential Patents Subject To Voluntary FRAND Commitments,下稱2021政策宣言草案),並徵集公眾意見,截止時間為2022年2月4日。2021政策宣言草案係在回應2021年7月9日「促進美國經濟體競爭性行政命令」(Executive Order on Promoting Competition in the American Economy)關於檢討2019年「有關『標準必要專利』司法救濟方法之政策宣言」(Policy Statement On Remedies For Standards-Essential Patents Subject To Voluntary FRAND Commitments,下稱2019政策宣言)之要求。 2021政策宣言草案揭示了兩大重點: (一)改變SEP被侵害時,對禁制令(injunction)之核發態度 2021政策宣言草案對於「SEP被侵害時,是否核發禁制令」一事,擬回歸適用聯邦最高法院自eBay Inc. v. MercExchange, L.L.C., 547 U.S. 388 (2006)案以來,就禁制令之核發所設立之原則—(1)原告(專利權人)會因專利侵權而遭受無法填補(irreparable)的損害;(2)目前法律上之其他救濟方法,是不足以賠償專利權人所受的損害;(3)衡量專利權人及被授權人可能遭遇之困難,足認有必要進行衡平法上的救濟;(4)核發禁制令不會傷害到任何公共利益。 (二)揭示何謂符合「誠信原則」(good-faith)授權協議的指導原則 (1)雙方應以合宜態度推進授權協議: 以SEP專利權人而言,其應向潛在被授權人告知可能侵害該SEP的行為態樣;其並以「公平、合理及無歧視」(fair, reasonable, and non-discriminatory, FRAND)原則進行授權。 以SEP被授權人而言,其應於知悉以上資訊後,於商業上得被認為合理的時間內,以合宜態度推進該協議,或逕自接受該授權協議,或拒絕原要約而反向提出一合於FRAND原則之新要約(counteroffer)。其他合宜態度例如:就SEP專利權人提出進一步探詢(例如:詢問該SEP目前之專利有效性及有無侵權情形)或請求提供更具體的資訊,或建議目前雙方所遇到的授權上爭議可透過公正第三方解決。 茲有附言者,SEP專利權人在收到以上回應後,亦應「於合理的時間以合宜態度」推進授權協議,例如接受被授權人反向提出之新要約,或為使原授權協議較可被接受,再行提出一合於FRAND原則之授權條款,或回應被授權人想得知更多資訊之請求,或亦提出「可透過公正第三方解決雙方所遇到之授權紛爭」的方案等。 (2)雙方應合宜妥善解決紛爭: 如雙方因授權而生紛爭,建議尋求替代爭議解決方式(alternative dispute resolution);如仍欲透過司法解決,建議雙方就管轄法院達成合意,而非單方面擇定法院而提起訴訟。 此次徵求公眾意見的主要議題如下: (1)2021政策宣言草案是否較可適當平衡SEP專利權人及被授權人之利益? (2)「可申請核發禁制令」一事是否為SEP專利權人願意遵守FRAND原則的重要因素? (3)如何提升SEP授權協議之效率及透明度? (4)2021政策宣言草案所揭示對於SEP授權時之「誠信原則」之指導原則,可否為SEP授權協議建構良好架構? (5)是否有潛在SEP被授權人願意及不願意接受FRAND授權協議之情形? (6)有關單位是否曾經或應就SEP授權協議提供其他參考資訊?