美國能源部加強推動智慧電網之網路安全,並提供自我評估調查工具
美國能源部於今年(2012)6月28日發布一套新的網路安全自我評估調查工具(Cybersecurity Self-Evaluation Survey Tool),以強化保護公共事業的業者避免遭受網路安全的攻擊,這套工具也是能源部為施行其於5月31日公布的網路安全能力成熟度模型(Cybersecurity Capability Maturity Model)的一部分,同時此模型的發展也是為了支持白宮的電力網路安全風險管理成熟度倡議( Electricity Subsector Cybersecurity Risk Management Maturity Initiative)。
網路安全成熟度模型的發展乃係由能源部與國土安全部共同領導,並且與業界、其他聯邦機構以及卡內基大學軟體工程研究所合作進行,該模型的四個目標在於:加強電力網路安全能力、使相關業者可以有效並持續設立網路安全能力的基準、分享知識、解決的方法與其他相關的參考資料、使業者得以排定對於改善網路安全的行動以及投資上的優先順序,以幫助業者發展並且評估他們的網路安全能力。
此次發佈的評估工具則是以問卷的方式,著重在情境式的認知與威脅及弱點的管理,而後能源部將針對自願提供評估結果的業者提供個案報告,幫助業者改善其網路安全能力,同時,能源部也建議業者,建立優先行動方案,以解決差距的問題,並且定期評估追蹤網路安全能力的改善進度,能源部也提醒業者注意網路威脅環境上與技術上的改變,以進行應變的評估。
美國線上服務(AOL)找到改善公司資金短缺的問題。主要出售該公司800項並將其他相關專利授權予微軟(Microsoft)使用,共獲得總價10.6億美元。這也使得AOL的生存獲得機會,但也同時減低AOL的價值。 AOL出售專利主要是因為公司股東認為AOL無法利用專利為公司賺得應有的利益,因此出售大多數的專利給微軟,且將留下300項專利權,同時授權予微軟使用,其技術主要為廣告、搜尋、網際網路、多媒體等其他相關專利。 AOL將出售專利所獲得現金收入,大部分提供給股東。消息公佈後,雖微軟股價下降1.1%,而AOL股價卻上漲43%,每股26.2美元。整體而言,微軟期望透過此專利交易,比起AOL更有效率獲取收益,而AOL出售專利的同時,也喪失未來透過這些專利獲得收入的機會;當AOL的股東看似獲得龐大的回饋金,他們也同時失去未來無法預期的更大的利益回饋。 微軟將透過這800件專利新武器迎戰正在進行的科技競爭訴訟。當然微軟不是唯一提出訴訟的公司。近幾年幾家科技公司,谷歌(Google)、甲骨文公司(Oracle)、及蘋果公司(Apple)亦捲入專利訴訟。小型公司在訴訟中往往比較弱勢,但亦有成功的案例。如,微軟需支付專利訴訟賠償金額加上判決訴訟費用,共2.9億美元給I4i公司。
為了確保網絡安全,歐盟頒佈新的網路安全計畫網絡活動無遠弗屆,其所帶來的影響也逐漸引起世界各國的關注。依據歐盟針對網絡安全現況所做的調查發現,首先,現行估計存有150,000隻電腦病毒在網路間流竄,並已造成148,000部電腦受到威脅;第二,世界經濟論壇(World Economic Forum)指出,在未來的十年內,主要重大資訊基礎設施估計將有10%遭到破壞,其將導致2500億美金的損失;第三,著名資安公司(Symantec與McAfee)估計,全世界因網路犯罪而受害者,每年將會損失2900億歐元。相反地,因網路犯罪而受益者,其獲利將可高達每年7500億歐元;第四,依據 Eurobarometer在2012年針對網絡安全的民調指出,38%歐盟網路使用者因網絡安全因素已改變他們的網路行為方式;74%使用者同意,成為網絡安全受害者的風險已經逐漸增加;12%使用者已經遭受線上詐欺且89%使用者已避免在網上揭露個人資料;第五,據網絡暨資訊安全(NIS)的公眾諮詢發現,56.8%受訪者指出,在過去一年已經歷NIS事件對其網絡活動所帶來的嚴重影響;第六,Eurostat figures指出,直到2012年一月,在歐盟境內的企業僅有26%已經制定出完整的ICT安全政策。 有鑑於網路安全風險所帶來的效應已漸受重視,歐盟執委會(European Commission)會同歐盟外交暨安全政策高級代表(High Representative of the Union for Foreign Affairs and Security Policy共同發佈網絡安全策略,並計畫延引出歐盟執委會在NIS面向上的新指令(directive)。新的歐盟網絡安全策略,名為「開放、安全與可靠網絡空間」,代表著歐盟在預防和反應網絡攻擊和侵擾問題上的全面性預見。在該策略中,包含五個重大優先處理事項: 一、達到網絡韌性(Achieving cyber resilience) 二、徹底減少網路犯罪(Drastically reducing cybercrime) 三、針對一般安全暨防禦政策,發展網絡防禦政策和能力(Developing cyber defence policy and capabilities relatedto the Common Security and Defence Policy (CSDP)) 四、對網絡安全發展出企業性和技術性資源(Developing the industrial and technological resources for cyber-security) 五、為歐盟建立一個完整的國際網絡空間政策與促進歐盟核心價值(Establishing a coherent international cyberspace policy for the European Union and promoting core EU values) 為了達成歐盟網絡安全策略所形塑的優先事項,歐盟執委會亦計畫針對NIS來頒佈新的指令以落實策略項目,其中包含,首先,要求歐盟會員國必須採納NIS策略且指定國家級機關(需具有足夠人力和財務資源)來預防、處理和回應NIS風險與事件;第二,透過安全基礎設施和組成一般性的同儕審議,在歐盟會員國與執委會間建立合作機制來分享NIS風險和事件的早期預警;第三,某些領域重大基礎設施的運作者(金融服務、交通、能源或健康)、資訊社會服務的推動者(app商店電子商務平台、線上支付、雲端運算、搜尋引擎、社群網絡)和公家行政部門必須在其核心服務上,採納風險管理作法和報告主要網絡安全事件。 從歐盟網絡安全策略和執委會計畫頒佈的NIS指令可以發現,歐盟對於新世代的網絡安全風險已經有完整的預見與具體的因應措施。針對新型態的網絡安全威脅,我國如何能及早適時預警並作出相應的防範機制,以確保產業經濟、公共交通、資訊工業和國防安全等不會受到外部威脅,將是我國政府必須先行正視的問題。
美國聯邦巡迴上訴法院判決 FCC無權要求網路中立性2010年4月6日美國聯邦哥倫比亞巡迴上訴法院於Comcast v. FCC一案中,判決美國聯邦通訊傳播委員會(FCC)要求網路服務供應商(ISP )對所有形式資料傳輸一視同仁的「網路中立性」要求係逾越權限,有違法律保留原則。此裁判將為美國大型網路內容提供業者(ICP)的經營模式及網路使用者上網習慣投下震撼彈。 網路中立性(Net Neutrality)係指同一ISP應公平地處理所有網路服務,不得因頻寬需求而有差別待遇。查原因案件乃業者Comcast禁止某些用戶透過網路點對點(peer-to-peer)的方式,傳輸大型影音檔案,其認為用戶這種做法會佔用過多頻寬,拖累其他用戶的網路速度;FCC則認為Comcast此舉違反了網路中立性。 在判決書中,哥倫比亞巡迴上訴法院援引判決先例(stare decisis),認為立法者課予FCC必須對全美人民提供一「公平、有效率、公正分配」的廣電服務。惟本案FCC擅以立法者未明確授權的網路中立性作為規制準則,逾越其管制權限而違法。 FCC發言人Jen Howard表示:「法院沒有道理否定保障網路自由與開放的重要性,也不該阻止其他可促成這個重要目的的方法。」此判決對諸多大力提倡網路中立性的大型ICP業者,無疑是一大打擊;ISP將來也可能對消費者依照資料傳輸流量分級收費(即tiered service),形成新的網路服務發展型態。FCC目前正極力爭取立法者通過「網路中立性法案」尋求管制的合法性,後續發展值得注意。
英特爾將停用開源碼授權英特爾公司宣布,將廢止一項適用於部分自家軟體的開放原始碼授權辦法。這家晶片製造公司表示,已通知開放原始碼促進會 (Open Source Initiative ; OSI) 移除英特爾的開源碼授權許可,未來不再以 OSI 認可的授權形式繼續使用。 OSI 是一個非營利性機構,其宗旨在推廣使用開放原始碼軟體,並且在 OSI 網站上公布一份開放原始碼軟體授權清單。該公司希望把英特爾開放原始碼授權 (Intel Open Source License) 「移除,未來停用」,藉此降低授權協議日益增多的情形。 授權協議如雨後春筍般地孳生,已引起開放原始碼社群人士關切,因為授權版本大增之後,有意採用開放原始碼軟體的企業必須多花一些錢評估、管理各類型的授權,無形中導致成本增加。英特爾發言人表示,決定廢止開源碼授權,是發現公司內部數年來一直未使用,公司以外的使用頻率也不高。 Smith 說,英特爾不希望讓這項授權的「解除許可」效力回溯既往,以免迫使企業重新取得程式碼的使用授權。