美國資訊安全分析新挑戰:巨量資料(Big Data)之應用
在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。
資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。
不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。
由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。
美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。
「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。
不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
巴拿馬避稅文件被揭露後,引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection),避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 執委會2013年11月正式提出歐盟營業秘密指令草案,目的為調合歐洲內部市場營業秘密規範,以建立保護創新者的環境,並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商,對於歐盟營業秘密指令內容達成共識,準備進入立法表決。 巴拿馬事件發生後,公民團體Corporate Europe Observatory之代表Martin Pigeon認為,歐盟營業秘密指令可能成為企業對付揭弊人的工具,以掩蓋不當或違法行為,而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示,營業秘密指令會明確地將記者及揭弊人除罪化。 事實上,為了保障公共利益所為之揭露行為,執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定,會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity),不會觸犯(entitle)營業秘密法之任何罪名。換句話說,即便取得企業機密之方式違法,揭弊人為了公共利益之行為不會違反營業秘密指令。 歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準,若歐盟營業秘密指令順利通過,仍待會員國依據該指令各自立法,訂立境內營業秘密相關規範,以落實營業秘密之保護。
美國「刑事鑑識演算法草案」美國眾議院議員Mark Takano於2019年10月2日提出「刑事鑑識演算法草案」 (Justice in Forensic Algorithms Act),以建立美國鑑識演算法標準。依據該法第2條,美國國家標準與技術研究所(National Institute of Standard)必須建立電算鑑識軟體之發展與使用標準,且該標準應包含以下內容: 一、以種族、社會經濟地位、兩性與其他人口特徵為基礎之評估標準,以因應使用或發展電算鑑識軟體,所造成區別待遇產生之潛在衝擊。 二、該標準應解決:(1)電算鑑識軟體所依據之科學原則與應用之方法論,且於具備特定方法之案例上,是否有足夠之研究基礎支持該方法之有效性,以及團隊進行哪些研究以驗證該方法;(2)要求對軟體之測試,包含軟體之測試環境、測試方法、測試資料與測試統計結果,例如正確性、精確性、可重複性、敏感性與健全性。 三、電算鑑識軟體開發者對於該軟體之對外公開說明文件,內容包含軟體功能、研發過程、訓練資料來源、內部測試方法與結果。 四、要求使用電算鑑識軟體之實驗室或其他機構應對其進行驗證,包含具體顯示於哪個實驗室與哪種狀況下進行驗證。此外,亦應要求列於公開報告內之相關資訊,且於軟體更新後亦應持續進行驗證。 五、要求執法機關於起訴書或相關起訴文件上應詳列使用電算鑑識軟體之相關結果。
歐盟執委會針對研究發展與創新通過新的國家補助綱要架構(state aid Framework for Research, Development and Innovation)根據歐盟條約,國家補助的行為原則上為條約所禁止,例外須經歐盟執委會核准。為使會員國得以事先瞭解哪些行為會被認為符合共同市場的精神,歐盟執委會在11月22日針對國家補助規則,通過了「研究發展與創新綱要架構」(Community framework for state aid for research and development and innovation,以下簡稱為R&D&I Framework),期能加速此類案件的審理效率。新綱要架構規定預計自2007年1月1日起開始生效適用。 根據新的綱要架構,會員國在規劃其國家補助措施之際,仍有義務通知執委會,經執委會確認或核准後,始符合歐盟相關法制。不過執委會認為,會員國在規劃國家補助措施時,如能依循綱要架構的指導說明,將可加速執委會的作業,提升審查效率。 過去僅有研發補助可例外被認為符合歐盟條約之精神,惟根據新的綱要架構,除了研發補助以外,創新補助亦是可以獲得豁免管制者。此外,綱要架構對特定有助於研究發展與創新的國家補助措施類型,提供了詳細的指導原則說明,這類國家補助措施可以帶動私人企業的研發與創新投資,有助於經濟成長與就業,因而可提升歐盟的競爭力。 R&D&I Framework同時也允許會員國視其國內發展狀況與特殊條件,設計符合該國之補助措施,前提是要符合可矯正特定市場失靈的檢視要件,且其所設計的措施可能帶來的優惠超出補助對競爭可能造成之損害。 另新綱要架構也指出阻礙研發與創新的主要市場失靈的因素如下:知識外溢(knowledge spill-overs)的效果有限、資訊不足與不對稱(imperfect and asymmetric information)、缺乏協調與網絡建構(coordination and network failures)。此外,新綱要架構中亦針對各類行的國家補助措施,逐項為會員國解說如何妥善運用,以符合補助規則(state aid rules)。這些政策措施如下: ●研發計畫(aid for R&D projects); ●技術可行性之補助研究(aid for technical feasibility studies); ●對中小型企業智慧財產權費用給予補助(aid for industrial property right costs for SMEs); ●對新創事業提供補助(aid for young innovative enterprises); ●對服務流程及組織功能創新所提供之補助(aid for process and organisational innovation in services); ●對智慧財產提供諮詢或支援服務之補助(aid for innovation advisory services and for innovation support services); ●對中小型企業因晉用高級專業人員所需之貸款提供融資的補助(aid for the loan of highly qualified personnel for SMEs); ●對創新育成事業提供的補助(aid for innovation clusters)。 新的綱要架構同時希望可以改善歐盟對國家補助的管控機制,集中資源於管理對可能破壞競爭的案件,故綱要架構對於具有高度破壞競爭與交易風險的鉅額案件,詳細說明了執委會如何進行個案評估。
德國聯邦資訊技術,電信和新媒體協會針對AI及自動決策技術利用提出建議指南德國聯邦資訊技術,電信和新媒體協會於2018年2月6日在更安全的網路研討會中針對利用人工智慧及自動決策技術利用提出建議指南(Empfehlungen für den verantwortlichen Einsatz von KI und automatisierten Entscheidungen),旨在提升企業數位化與社會責任,並提升消費者權益保護。 本份指南提出六項建議: 促進企業內部及外部訂定相關準則 例如規定公司在利用演算法和AI時,必須將影響評估列入開發流程,並列為公司應遵守的道德倫理守則,以確保開發的產品或服務符合公平及道德。 提升透明度 使用者如有興趣了解演算法及其含義,企業應協助調查並了解使用者想獲知的訊息,並透過相關訊息管道提升產品及服務透明度。因此,企業應努力使演算法及其操作和含義能夠被使用者理解。此亦涉及即將實施的歐盟一般資料保護規則中的透明度義務。在機器學習或深度學習情況下,可能會增加理解性和可追溯性難度,但有助於分析流程並使其更接近人類理解的方法在科學和商業實踐中,應特別關注並進一步討論。另外,透過教育及使用說明協助及控制功能,教導消費者係建立雙方信任的重要手段。企業應在第一線中說明產品或服務中使用的手段(演算法,機器學習,AI)。除了解釋使用那些技術來改進產品和服務外,應一併解釋如何從技術控制過程中獲得相關知識以及提供那些後援支持。另外,例如透過幫助頁面,儀表板或部落格,解釋發生什麼以及如何做出某些影響深遠的自動化決策,使用戶更了解有關使用自動決策相關訊息。因此建議企業採取強制有效以建立信任的措施,使用戶理解是否及如何使用相關演算法,此可能包括使用自動化決策,使用特定資料組和使用技術的目的,亦即使用戶對演算法,機器學習或AI支持的決策有基本的了解。 為全體利益使用相關技術 人工智慧等新技術之重要性不應被低估,目前在生活和工業等眾多領域皆有廣泛應用。對於個人和集體而言,將可帶來巨大的利益,因此應該充分利用。例如,人工智慧可降低語言障礙,幫助行動不便的人可更加獨立自主生活,改善醫療診斷,提升能源供應效率,甚至是交通規劃和搜索停車位,都只是人工智慧偉大且已被使用的案例。為促進技術發展,應公平地利用其優勢並預留商業應用模式的空間,同時充分解決涉及的具體風險。產業特定的解決方案十分重要,但應兼顧受影響者的利益,並與廣大公眾利益找出妥協平衡點,且應排除不適當的歧視。建議在使用決策支持技術時,應事先檢查相關後果並與其利益比較。例如,可以在資料保護影響評估的框架進行。作為道德準則的一部分,必須確保演算法盡可能量準確地預測結果。 開發安全的資料基礎 資料係人工智慧支援決策的基礎。與人為決策者相同,資料不完整或錯誤,將導致做出錯誤的決定。因此決策系統的可靠性仍取決資料的準確性。但資料質量和資料來源始終不能追溯到源頭,如果可能的話,只有匯總或非個人資料可用於分析或分類用戶群組。因此,確切細節不可被使用或揭露。因此建議企業應考慮要使用的資料、資料的類別和在使用AI系統前仔細檢查資料使用情況,特別是在自我學習系統中資料引入的標準,並根據錯誤來源進行檢查,且儘可能全面記錄,針對個人資料部分更應謹慎處理。 解決機器偏差問題 應重視並解決所謂機器偏差和演算法選擇和模型建立領域的相關問題。解釋演算法,機器學習或AI在基層資料選擇和資料庫時所產生決策偏見相當重要,在開發預期用途的演算法時必須納入考量,對員工應針對道德影響進行培訓,並使用代表性紀錄來創建可以識別和最小化偏差的方法。企業並應該提高員工的敏感度並培訓如何解決並減少機器偏見問題,並特別注意資料饋送,以及開發用於檢測模式的內、外部測試流程。 適合個別領域的具體措施和文件 在特別需要負責的決策過程,例如在車輛的自動控制或醫療診斷中,應設計成由責任主體保留最終的決策權力,直到AI的控制品質已達到或高於所有參與者水平。對類人工智慧的信任,並非透過對方法的無條件追踪來實現,而是經過仔細測試,學習和記錄來實現