美國資訊安全分析新挑戰:巨量資料(Big Data)之應用
在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。
資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。
不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。
由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。
美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。
「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。
不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
歐盟理事會與歐洲議會於2020年12月14日,針對歐洲軍民兩用出口管制法規《第428/2009號歐盟理事會規章》(COUNCIL REGULATION (EC) No 428/2009)達成修正協議,並獲得歐盟理事會下設常駐代表委員會(Committee of Permanent Representatives, COREPER)認可後正式通過。《規章428/2009》用以規範歐盟軍民兩用出口管制,監管歐盟涉及「軍民兩用」敏感貨品、服務、軟體和技術的對外出口、內部轉口及過境貿易。因兩用貨品包含軍事用途及商用用途,故此次歐盟調整軍民兩用出口管制的相關規則,主要考量面向包括:英國脫歐對歐洲出口管制的影響;如何確保歐盟出口管制條例與國際反武器擴散制度相一致;以及解決網路監管和新興技術帶來的安全威脅等。本次歐洲軍民兩用出口管制修正重點如下: 提升出口管制力度,防止濫用網路監管等新興技術:管制項目具備監視、取得、蒐集或分析資通訊系統資料功能者,因涉及國家內部鎮壓或嚴重違反國際人權和國際人道法(International Humanitarian Law),即使未明列在歐盟軍民兩用法規的附件中,也應加強管制。 新增兩項歐盟一般出口許可證(EU General Export Authorisations, EU GEAs):包括集團內部技術轉讓(EU007)及加密(EU008),允許軍民兩用貨品出口至特定目的地。 統一歐盟軍民兩用貨品規則:例如技術協助屬於特定軍事用途且與軍民兩用相關者須經授權,歐盟成員國得配合擴張軍民兩用貨品清單。 強化企業調查和報告義務,遵守並適用出口管制規則:實施出口及授權作業的出口商,應落實內部合規計劃,確保企業遵守出口管制的政策和程序。 歐盟成員國間加強合作機制:促進資訊交流、政策調整和執法行動。
關於中國大陸商標不予註冊事由—在先著作權的認定關於中國大陸商標不予註冊事由—在先著作權的認定 科技法律研究所 法律研究員 林昭如 2014年12月26日 壹、前言 《中華人民共和國商標法》(下稱《商標法》)第32條規定,申請商標註冊不得損害他人現有的在先權利。中國大陸的商標確權案件中,常有以著作權登記證書主張在先著作權。然實務上,在部分情況,單以著作權登記證書證明著作權歸屬,其證明力仍嫌不足。 有一文化用品,將其完成幾乎與畢卡索名畫「夢」完全相同的作品,向上海市版權局申請著作權登記。隨後,亦向國家工商行政管理總局商標局申請商標註冊,指定使用於筆類等商品。國家工商行政管理總局商標評審委員會認為,該商標侵害他人的在先著作權,因而裁定不予核准註冊。該文化用品公司不服,因此向北京市第一中級人民法院提起行政訴訟,主張被異議的商標圖形為原創作品,且已取得上海市版權局之著作權登記證書,然法院表示,畢卡索的《夢》世界聞名,推定有接觸可能;且以被異議商標圖形的著作權登記證書為單一證據,尚無法證明系爭圖形之著作權歸屬於該公司[1]。 由於畢卡索的《夢》世界聞名,法院推定有接觸可能,較無疑問,故本文將分析除了著作權登記證書外,其他可作為著作權歸屬的佐證資料,提供台灣企業為著作產出過程的證據保存與管理之參考。 貳、重點說明 由上述事例案可知,當被推定有接觸據爭著作可能時,縱使已取得著作權登記證書,仍不足證明著作權歸屬。實務上,除了以著作權登記證書證明在先著作權外,亦有以在先商標註冊證,證明在先著作權者,關於其證據力分述如下。 一、著作權登記證書之證據力 最高人民法院《關於審理著作權民事糾紛案件適用法律若干問題的解釋》第7條規定,當事人提供的涉及著作權的底稿、原件、合法出版物、著作權登記證書、認證機構出具的證明、取得權利的合同等,可以作為證據。但,此僅作為登記人擁有該登記作品著作權的初步證明,因登記機關是根據登記人主張的創作完成時間為登記,並未進行創作歷程、有無抄襲等實質審查。 當作品早於系爭商標註冊申請日的著作權登記,若無反證推翻,即可能認定在先著作權成立,具有相對高的證明力。問題在於,晚於系爭商標註冊申請日的著作登記,又無法提出其他證據時,如:創作歷程佐證,即使著作權登記證書所載之創作完成時間,早於系爭商標註冊申請日,仍無法證明為著作人。 二、在先商標註冊證之證據力 實務上,有些圖形商標亦構成《中華人民共和國著作權法》(下稱著作權法)第3條的作品。惟原定既是作為商標使用,故通常僅取得商標註冊證,未另為著作權登記。有依據《著作權法》第11條第4款規定,如無相反證明,在作品上署名的公民、法人或者其他組織為作者。主張以商標註冊證所載之註冊人等資訊,為上揭條文之「署名」。有多件法院判決認為,在先商標註冊不足證明在先著作權成立[2],原因在於《著作權法》中的「署名」為作者的姓名表示,然商標註冊證所載之註冊人則在於表示商標專用權人,與《著作權法》的姓名表示權意義不同。 參、事件評析 由上述重點說明可知,儘管有著作權登記證書或在先商標權註冊證,在多數情況下,如無其他佐證,仍無法證明在先著作權。著作權登記制度僅具公示力,證明某個著作在某個時點的特定人主張著作權,登記機關以登記人主張的創作完成時點、首次發表時點為準,並不進行實質審查,有可能發生非真正的著作權人進行登記。 故當對造當事人提出證據推翻著作權登記證書的公示資訊時,尚須再提出其他證據,證明作品為自行創作,其方式有: 一、在著作原件署名 依據《著作權法》第11條第4款規定,如無相反證明,即推定作品上之署名為作者。因此推定的效果,對於著作權人而言,在主張在先著作權利時,可以降低舉證責任。 二、保留創作紀錄 此為證明著作為自行創作的最直接證據,例如:工作會議紀錄、草稿、創作使用的素材、創意發想紀錄、依照日期進行不同階段的存檔…等。這些紀錄除可證明為原創,亦可證明是獨立創作而非抄襲他人。 最後,通常原規劃作為商標使用的圖形設計,大多不會進行創作歷程紀錄,甚或在作品署名,他日如有第三人主張在先著作權,往往面臨無法提出證據推翻之窘境,故建議針對具備創作高度而該當著作權保護之標的,比照上述方式,進行創作歷程保留並進行著作權登記,確保權利之取得與維護。 [1]谭乃文,〈商标确权案中的在先著作权〉,国家知识产权战略网,2014/08/29,http://www.nipso.cn/onews.asp?id=22682 (最後瀏覽日:2014/8/29) [2]徐琳,〈商標圖樣的著作權保護之困境與出路—《商標法》保護在先著作權條款的立法精神與審理標準探析〉,《電子知識產權》,第278期,頁54(2014)。
日本發布關鍵基礎設施資訊安全對策第4次行動計畫為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性,日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。 在第4次行動計畫,關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量,盡量減少關鍵基礎設施IT故障的發生,並提升從事故中恢復的速度。因此,第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外,較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面,要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面,分享的資訊範圍應包含IT、OT與IoT的資訊,並排除資訊分享的障礙。而在風險管理部分,日本從功能保證的觀點出發,新增風險情況對應準備的要求,包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上,該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。 另外,第4次行動計畫變更電力領域關鍵基礎設施的重要系統,從原有的運轉監視系統變更為智慧電表,以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。
中國大陸強制醫療所草案 規範肇事精神病患中國大陸國務院法制辦公室於105年6月擬訂強制醫療所條例草案《送審稿》(下稱本草案),規範對肇事精神病患的管制制度,並將本草案全文公布,徵求各界意見,本草案通過後將以行政法規形式公布。 依據中國大陸政府於105年6月12日官方網站聲明,中國大陸刑法規定肇事精神病患在不能辨認或者不能控制自己行為時造成危害結果,經法定程序鑑定確認者,不負刑事責任,但應當責令其家屬或者監護人嚴加看管和施予醫療;在必要的時候,由政府強制醫療。但修訂後的中國大陸刑事訴訟法實施以來,各地區適用強制醫療措施標準不一,導致由該制度所生之社會效果與法律效果並不明顯。因此本草案強調強制醫療所的性質是執法機關,不是單純的醫療機構,但醫療是實現強制措施的必要手段,也是強制醫療所的重點工作。 謹就本草案制定重點整理如下: 一、強制醫療所的設置 第七條第一款規定,強制醫療所的設置原則,由省、自治區、直轄市政府根據實際需要規劃設置。第二款規定市、州、盟如需設置強制醫療所,應提報所屬省、自治區政府批准。 二、醫療工作模式 第十條規定,強制醫療所應當設有相應的醫療機構,並依照醫療機構管理條例及國家相關規定開展診療活動。 三、強制醫療的解除 第三十七條規定,經診斷評估,被強制醫療人員病情穩定,已不具有人身危險性,不需繼續強制醫療者;或被強制醫療人員因嚴重身體疾病、傷殘或年老體弱致使日常生活不能自理,而不具有人身危險性,不需繼續強制醫療者,醫療院所應當提出解除強制醫療的意見,呈報做出強制醫療決定的法院批准,同時抄送同級檢察院。 四、臨時請假回家制度 第二十五條規定臨時請假回家之要件。被強制醫療人員須同時具備被強制醫療達半年以上、經診斷病情明顯緩解、其監護人或近親屬書面擔保履行看護、治療、安全及按期送回強制醫療所之責任、經強制醫療所出具准假證明,同時強制醫療所應向做出強制醫療決定之法院報備等要件。 五、患傳染病、嚴重身體疾病被強制醫療人員所外就醫 第三十三條規定,被強制醫療人員因罹患傳染病或嚴重身體疾病,而強制醫療所不具備治療條件,須轉送其他醫療機構治療者,強制醫療所應於發現後立即提出所外就醫意見,並報公安機關審批。經核准移送其他醫療院所,強制醫療所應即通知監護人、近親屬,並通知做出強制醫療決定之法院及同級檢察院。 六、收治被採取臨時保謢性拘束措施的精神病人 第四十五條規定,被公安機關依法採取臨時保謢性拘束措施的精神病人,可以在強制醫療所執行醫療行為。