美國資訊安全分析新挑戰:巨量資料(Big Data)之應用
在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。
資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。
不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。
由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。
美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。
「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。
不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
新加坡政府於2013年3月完成10年期的IP Hub Master Plan,並點出三個戰略目標,以帶領新加坡成為亞洲的智財匯流中心。在其智財匯流中心(IP Hub)的政策規劃中,主要是希望成為全球: 1.智財交易及管理中心(A hub for IP transactions and management ) 2.優質智財申請中心(A hub for quality IP filings) 3.智財爭端解決中心(A hub for IP dispute resolution)。 針對「智財交易及管理中心」目標實施策略,考量若能鼓勵企業揭露重要的智慧財產權資訊,將有助於使投資人更瞭解公司的競爭優勢及發展潛力。亦即企業的智慧財產權資訊適時揭露,將能爭取到更多外部資金投入,降低募資之成本。 據此,新加坡交易所(Singapore Exchange,SGX)於同年4月1日發佈智財揭露指引鼓勵上市企業揭露智財權利資訊。其中,除涉及可能損及公司商業活動之營業秘密,或涉及專利權之申請等事項外,公司對於智慧財產權之揭露訊息原則包括以下: 1.說明或解釋智財權對於公司經營業務之價值所在 。 2.為確保非專業的投資者都能夠理解揭露資訊,用語不受行話以及技術語言之限制。 3.解釋有關的智財權於根本上影響到公司的經營業務,以及獲利能力和公司及其子公司之前景與整體影響。 實際上,香港交易所亦曾於2012年2月發佈「上市文件智慧財產權揭露規範」,希望申請上市的企業能加強在上市文件中的智慧財產權揭露。該規範與新加坡證交所之智財揭露指引之內容,並無二致,皆希望透過智財權資訊之揭露,以增加投資人之投資意願;亦即,揭露程度越高,公司募資成本越低。
日本通過包括違法著作物下載刑罰化在內的著作權修正規定包括違法下載刑罰化在內的著作權法修正草案在06月20日下午於日本參議院本會議中表決通過。違法下載刑罰化等的規定從10月01開始施行,而其它規定則從2013年01月01日開始施行。 日本政府最初於06月15日於眾議院文部科學委員會所提出的修正案為因應隨著數位化、網路化的發展而生之著作物利用態樣多元化及著作物違法利用及流通等的問題,包括 (1) 所謂「偶然入鏡」等未產生實害之著作物的非授權使用的放寬; (2) 國立國會圖書館的數化位資料自動公眾發送等的相關規定; (3) 依關於公文書等管理之法律而生的利用行為的相關規定; (4) 所謂「擷取違法化」等、關於技術面的保護手段之規定的整備等,在同委員會內獲得全員一致的表決通過。 此外,在同委員會也就自民黨、民主黨(提供兩點全名)兩黨所提出的針對「違法著作物的下載」導入刑事罰的修正案進行表決,獲得通過,並在其後的眾議院本會議中併同前述文部科學委員會所提出之修正案一併表決通過,復送交參議院進行表決。違法著作權的下載行為早在先前2009年的著作權修法時即已認為為違法化,惟一直以來並沒有罰則之規定。 在日本音樂相關權利人團體很早開始就提出了違法下載刑罰化的強烈要求,不過都沒有納入著作權法修正的相關審議會進行審議。不過,此次在權利人團體強力向以自公兩黨為首的政黨進行遊說的結果,最後通過了「兩年以下的有期徒期或20萬圓以下罰金」的修正內容,並於本次參議院本會議中表決通過成立。
ENUM服務前景可期? 2023年日本著作權法修訂之相關規範2023年5月17日,日本國會通過了《著作權法》部分條文修正案,並於同月26日公布(2023年第33號法)。 隨著數位化的進步,內容的創作、傳播和使用變得更加容易,不再只是過去主流的出版社、電視台等「專業人士」才能從事,而是一般普羅大眾也可以參與創作,並將內容貼在網路上。與此同時,既有著作之重新利用的需求等情形均日益增加,然而此類內容的問題在於難與著作權人取得聯絡,不一定可順利使用。 為了解決上述問題,本次修正重點之一係新增第67之3條,根據該條規定,儘管著作之利用人採取了確認著作權人授權意願等措施,但仍無法確認著作權人授權意願時,得向文部科學省所屬之文化廳申請裁定,經文化廳長裁定允許利用並繳納補償金後,利用人得於該裁定所定之期間內(申請書所載之期限最長不得超過3年)先行使用該著作。新裁定利用制度放寬了確認著作權人意願之程序與要求,降低使用門檻,並同時規定著作權人可聲請撤銷使用,如果文化廳長裁定撤銷使用,則利用人應停止繼續使用該著作,著作權人得依利用人實際使用期間之比例領取補償金。另為簡化及加快程序,關於新裁定利用制度之申請受理、要件確認與補償金額的決定等部分事務,文化廳長得指定特定之民間機構作為聯絡窗口負責相關行政手續之處理(第104條之33以下相關規定)。 新裁定利用制度的建立,將有助於促進著作之流通利用,即認為已充分週知著作權人,且盡可能地確認著作權人等是否可以使用的意思,仍不能確認意思狀態之著作,而採取一定措施放寬使用是妥適的。因考慮到週知等需要時間,乃決定從公布日(2023年5月26日)起3年內施行。 本文同步刊登於TIPS網(https://www.tips.org.tw)