在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。
資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。
不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。
由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。
美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。
「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。
不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
挪威交通部(Ministry of Transportation)甫於本月推出電子通訊法(Electronic Communication Act)修法草案,其主要針對1-5、2-12、4-14條之規定進行修正,期望透過確認主管機關對費率和爭端處理程序等事項之管轄權和財務補貼,解決歐盟(European Union;EU)和歐洲經濟區(European Economic Area;EEA)內,長期爭議不決的國際漫遊費率問題。 強調區域整合的泛歐盟經濟體(含27個EU會員國和挪威、列支敦士登、冰島3個EEA會員國),雖在貨物、人口、服務、貨幣之自由流通等,各項單一市場上的努力上相當成功,但其電信漫遊之跨國界服務,卻經常受到各界批評,主要問題即源自於居高不下的跨國漫遊費率。因歐洲地理和人口分佈稠密度甚高,居民極容易使用跨國電信服務,但卻需負擔動輒數倍的國際漫遊費用問題。近年來歐盟有意對此尋求解決之道,而挪威此次修法即為初步重要嘗試之一。
美國財政部投資安全辦公室發布有關對外投資審查議題的法規預告美國財政部投資安全辦公室發布有關對外投資審查議題的法規預告 資訊工業策進會科技法律研究所 2024年09月16日 隨著地緣政治局勢升溫,國際主要國家為強化技術保護,並防止資源持續流入國族國家敵對勢力(Nation-state adversaries),有研議新增「對外投資審查」為監管工具的趨勢,例如歐盟執委會(European Commission)於2024年1月發布「對外投資白皮書」(White Paper on Outbound Investments),以及美國總統拜登於2023年8月9日發布《第14105號行政命令》(Executive Order 14105,以下簡稱《對外投資命令》),確立美國應增設對外投資審查制度之目標。 壹、事件摘要 為了落實《對外投資命令》,美國財政部(Department of the Treasury)投資安全辦公室(Office of Investment Security)於2024年7月5日發布「有關美國於關切國家投資特定國家安全技術與產品」的法規預告(Notice of Proposed Rulemaking:Provisions Pertaining to U.S. Investments in Certain National Security Technologies and Products in Countries of Concern,以下簡稱法規預告),將半導體與微電子、量子資訊技術以及人工智慧列為三大目標監控領域。 依據法規預告,未來「美國人」(U.S. Person)若從事涉及「特定外國人」(Covered Foreign Person)的三大「特定領域活動」(Covered Activity)投資交易,除合乎例外交易(Excepted Transactions)情形外,皆屬未來對外投資審查法規的管轄範圍。 貳、重點說明 以下簡介法規預告的重點規範內容: 一、三大特定領域活動:包含半導體與微電子、量子資訊技術以及人工智慧三個領域。 二、美國人:指美國公民、美國法定永久居留權人、任何依照美國法律設立或受美國管轄的法人實體(Entity),及任何在美國境內的自然人。 三、關切國家:指中國大陸,並包含香港及澳門地區。 四、特定外國人:指「屬於關切國家的個人或法人實體,並從事三大特定領域活動者」,具體而言包含關切國家公民或法定永久居留權人、政府單位或人員、依關切國家法律設立的法人實體、總部位於關切國家的法人實體等。 五、雙軌制:法規預告將對外投資分為兩大交易類別,即「禁止交易」(Prohibited Transactions)及「通報交易」(Notifiable Transactions)。原則上投資若涉及三大特定領域活動且屬於法規預告指定之「先進技術項目」者,為禁止交易;未涉及先進技術項目,則屬通報交易。 六、半導體領域之禁止交易: 鑒於半導體產業對於我國影響重大,且亦為我國管制重點項目,以下簡要說明半導體領域之禁止交易: (一)先進設計:禁止任何涉及超出美國《出口管制規則》(Export Administration Regulation, EAR)的「出口管制分類代碼」(Export Control Classification Number, ECCN)3A090.a技術參數,或可於4.5克耳文(Kelvin)以下溫度運作的半導體先進設計相關投資。ECCN 3A090.a技術參數係指半導體「總處理效能」(Total Processing Performance, TPP)為4800以上;或TPP為1600以上且「性能密度」(Performance Density, PD)為5.92以上者。 (二)先進製造: 禁止涉及以下項目的先進半導體製造相關投資: 1.使用非平面晶體管架構(non-planar transistor architecture)或16奈米、14奈米或以下製程技術的邏輯晶片。 2.具有128層以上的快閃(NOT-AND)記憶半導體。 3.使用18奈米以下半週距製程技術的動態隨機存取記憶體(dynamic random-access memory)晶片。 4.使用鎵化合物(gallium-based compound)的化合物半導體。 5.使用石墨稀電晶體(graphene transistors)或奈米碳管(carbon nanotubes)的半導體。 6.能於4.5克耳文以下溫度運行的半導體。 (三) 先進封裝:法規預告禁止任何使用先進封裝技術的半導體封裝相關投資。先進封裝係指「以2.5D及3D進行半導體封裝」,例如透過矽穿孔(through-silicon vias)、黏晶或鍵合技術(die or wafer bonding)、異質整合等先進技術進行半導體封裝。 (四) 電子設計自動化軟體(electronic design automation software,以下簡稱EDA軟體):禁止開發、生產用於先進半導體設計或先進封裝的任何EDA軟體。 七、不採取逐案審查模式:法規預告不採取逐案審查模式,而係由美國人自行判斷投資類型為禁止或通報交易。 八、通報程序:原則採取「事後通報」模式,美國人應於通報交易完成日(completion date)後的30個日曆天(calendars day)內,透過財政部對外投資安全計畫(Department of the Treasury’s Outbound Investment Security Program)網站進行通報,並應將相關需求文件提供予財政部,如投資交易雙方的交易後組織結構圖(post-transaction organizational chart)、交易總價值及其計算方式、交易對價描述、交易後對特定外國人的控制狀況等。 九、例外交易: 法規預告的例外交易主要包含兩大類別,分述如下: (一) 技術不當外流風險較低的例外交易:某些交易類型的技術不當移轉風險較低,若實質上亦未賦予美國人超出「標準少數股東保護範圍之權限」(rights beyond standard minority shareholder protections),則此種投資即可排除於法規預告外,例如於公開交易市場的證券買賣、買斷關切國家法人實體的所有權,以及不取得管理決策權或出資金額低於100萬美元的有限合夥投資等。 (二) 基於其他外交、政治因素的例外交易:若交易發生於美國境外,且經財政部部長認為該國或地區已具備足以應對國安威脅的措施,或經財政部認定為對國家安全有利的交易,皆可排除於法規預告的管轄之外。 參、事件評析 美國財政部發布對外投資的法規預告,顯示出美國政府認為既有技術管制措施,如出口管制、營業秘密及對內投資審查等,已不足以涵蓋對外投資所生之技術外流風險,且對外投資若涉及關鍵領域的先進技術,所帶來的無形技術移轉利益,可能遠大於投資資金本身。 我國基於兩岸情勢及國安考量,自1992年以來即透過《臺灣地區與大陸地區人民關係條例》第35條,就赴中國大陸之投資進行審查。隨著地緣政治複雜化,加諸我國處於半導體等關鍵產業供應鏈的重要地位,我國應持續關注及研析美國等國家之對外投資審查制度發展,以利定期檢視相關機制的妥適性,並達到維護產業競爭力及防範先進技術遭到不當外流之目標。
中國大陸網路安全法於6月1日正式施行中國大陸網路安全法於去(2016)年11月通過,於今(2017)年6月1日正式施行,該法主要係為了保障網路安全,維護網路空間主權與國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,為第一個國家層級處理網路安全問題的法律,旨在確保維護網路空間的國家主權、保護使用者個資、防範網路攻擊及網路詐騙。 中國大陸網路安全法共七章79條,包括第一章總則、第二章網路安全支持與促進、第三章網路運行安全、第四章網路訊息安全、第五章監測預警與應急處置、第六章法律責任、第七章附則。其規範重點之一為關鍵資訊基礎設施正式納入網路安全保護範圍內,關鍵資訊基礎設施之定義不僅包括電力、運輸和金融等傳統關鍵行業,還包括法律規定涉及民生的其他基礎設施,表示任何關鍵資訊基礎設施相關廠商、供應商等外國公司,以及擁有大量中國大陸訊息的廠商,都有可能成為中國大陸網路安全法監管、執法調查、強制執行的主要對象。 中國大陸網路安全法亦要求關鍵資訊基礎設施相關廠商將個資與重要數據資料在地化,或是將這些數據資料傳輸至國外前,必須經過相關的監管機構進行自我安全評估或先加以批准。
FCC第二號命令對我國必要轉播條款的啟示