為了確保網絡安全,歐盟頒佈新的網路安全計畫
網絡活動無遠弗屆,其所帶來的影響也逐漸引起世界各國的關注。依據歐盟針對網絡安全現況所做的調查發現,首先,現行估計存有150,000隻電腦病毒在網路間流竄,並已造成148,000部電腦受到威脅;第二,世界經濟論壇(World Economic Forum)指出,在未來的十年內,主要重大資訊基礎設施估計將有10%遭到破壞,其將導致2500億美金的損失;第三,著名資安公司(Symantec與McAfee)估計,全世界因網路犯罪而受害者,每年將會損失2900億歐元。相反地,因網路犯罪而受益者,其獲利將可高達每年7500億歐元;第四,依據 Eurobarometer在2012年針對網絡安全的民調指出,38%歐盟網路使用者因網絡安全因素已改變他們的網路行為方式;74%使用者同意,成為網絡安全受害者的風險已經逐漸增加;12%使用者已經遭受線上詐欺且89%使用者已避免在網上揭露個人資料;第五,據網絡暨資訊安全(NIS)的公眾諮詢發現,56.8%受訪者指出,在過去一年已經歷NIS事件對其網絡活動所帶來的嚴重影響;第六,Eurostat figures指出,直到2012年一月,在歐盟境內的企業僅有26%已經制定出完整的ICT安全政策。
有鑑於網路安全風險所帶來的效應已漸受重視,歐盟執委會(European Commission)會同歐盟外交暨安全政策高級代表(High Representative of the Union for Foreign Affairs and Security Policy共同發佈網絡安全策略,並計畫延引出歐盟執委會在NIS面向上的新指令(directive)。新的歐盟網絡安全策略,名為「開放、安全與可靠網絡空間」,代表著歐盟在預防和反應網絡攻擊和侵擾問題上的全面性預見。在該策略中,包含五個重大優先處理事項:
一、達到網絡韌性(Achieving cyber resilience)
二、徹底減少網路犯罪(Drastically reducing cybercrime)
三、針對一般安全暨防禦政策,發展網絡防禦政策和能力(Developing cyber defence policy and capabilities related to the Common Security and Defence Policy (CSDP))
四、對網絡安全發展出企業性和技術性資源(Developing the industrial and technological resources for cyber-security)
五、為歐盟建立一個完整的國際網絡空間政策與促進歐盟核心價值(Establishing a coherent international cyberspace policy for the European Union and promoting core EU values)
為了達成歐盟網絡安全策略所形塑的優先事項,歐盟執委會亦計畫針對NIS來頒佈新的指令以落實策略項目,其中包含,首先,要求歐盟會員國必須採納NIS策略且指定國家級機關(需具有足夠人力和財務資源)來預防、處理和回應NIS風險與事件;第二,透過安全基礎設施和組成一般性的同儕審議,在歐盟會員國與執委會間建立合作機制來分享NIS風險和事件的早期預警;第三,某些領域重大基礎設施的運作者(金融服務、交通、能源或健康)、資訊社會服務的推動者(app商店電子商務平台、線上支付、雲端運算、搜尋引擎、社群網絡)和公家行政部門必須在其核心服務上,採納風險管理作法和報告主要網絡安全事件。
從歐盟網絡安全策略和執委會計畫頒佈的NIS指令可以發現,歐盟對於新世代的網絡安全風險已經有完整的預見與具體的因應措施。針對新型態的網絡安全威脅,我國如何能及早適時預警並作出相應的防範機制,以確保產業經濟、公共交通、資訊工業和國防安全等不會受到外部威脅,將是我國政府必須先行正視的問題。
本文為「經濟部產業技術司科技專案成果」
英國內閣辦公室指出,英國政府將設立網路兒童保護中心以協助警方與孩童保護機構,該中心主要偵查目標為利用網際網路散佈違法之兒童影像或「打扮」兒童的戀童癖人士。其宗旨在減少利用網路協助虐童的行為,而對孩童、家庭與社會產生傷害的情況。 該中心未來將隸屬於 2006 年 4 月 1 日成立之「嚴重組織犯罪局」( Serious Organized Agency = SOCA )管轄,並於該局成立之同時開始運作,由專責的警察人員協同孩童保護,並由網路工業專家負責業務之執行。
日本設置「創新藥品等實用化支援基金」促進創新藥品及再生醫療製劑研發上市日本在2025年2月12日閣議決定「藥機法等部分法律修正案」(原文:医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律等の一部を改正する法律案),送國會本會期審議。其中明文設置「創新藥品等實用化支援基金」,政府預先編列複數年度所需財源,並設有10年時限措施。此項基金業務預定由國立研究開發法人醫藥基盤、健康暨營養研究所(下稱研究所)負責實施,追加創新藥品等實用化支援事業為研究所新業務,並明定至令和18年(2036年)3月31日為止實施,說明如下: (1)為了「創新藥品及再生醫療製劑」(下稱創新藥品等)之實用化,整備研發所必要之具規模的設施及設備,並提供從事於創新藥品等實用化之人得以共同使用,以增加創新藥品等實用化之交流與合作之機會,對於從事此等業務以及其他提供必要支援之事業者(下稱創新藥品等實用化支援事業者),由研究所提供其必要資金及其他支援。 (2)創新藥品等實用化支援事業者欲從事前述支援事業,向厚生勞動大臣提出申請書取得認定。 該基金由政府與製藥企業等共同出資設立,以強化「製藥新創得以創造出創新藥品等之製藥基盤及基礎設施」為目標,對於實施創新藥品等新創進行支援之「創新藥品生態系園區之整備事業者」(例如:育成事業者或製藥企業等),整備育成實驗室(Incubation Lab)、動物實驗設施、臨床試驗用藥製造等設施,以及致力於新創支援之事業者作為補助之對象範圍,明文於實施3年後進行檢討,期能透過此一基金之運作強化創新藥品等之製藥基盤。
日本「u-Japan政策」簡介 G7發布金融機關因應勒索軟體危脅之基礎要點由於近年來勒索軟體對國際金融帶來重大影響,七大工業國組織G7成立網路專家小組CEG(Cyber Expert Group),並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」(Fundamental Elements of Ransomware Resilience for the Financial Sector),本份要點是為因應勒索軟體所帶來之危脅,提供金融機關高標準之因應對策,並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果,建立處置應變之基礎,加強國際金融的韌性。該份要點內容著重於民營之金融機關(private sector financial entities),或關鍵之第三方提供商(critical third party providers),因其本身有遵守反洗錢和反恐怖主義之融資義務,但也可依要點訂定之原意,在減少自身受到勒索軟體之損害上,或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本,要點所提列之重點如下: 1.網路安全策略與框架(Cybersecurity Strategy and Framework): 將因應勒索軟體威脅之措施,列入金融機關整體的網路安全策略與框架之中。 2.治理(Governance): 支付贖金本身可能於法不容許,也可能違背國家政策或業界基準,金融機關須在事件發生前,檢視相關法規,並針對潛在的被制裁風險進行評估。 3.風險及控制評估(Risk and Control Assessment): 針對勒索軟體之風險,應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約,填補勒索軟體造成的損害。 4.監控(Monitoring): 針對潛在的勒索軟體,金融機關有監控其活動進而發現隱藏風險之義務,並向執法與資通安全機關提供該惡意行為之相關資訊。 5.因應處置、回覆(Response): 遭遇勒索軟體攻擊之事件,就其處置措施,須依原訂定之計劃落實。 6.復原(Recovery): 遭遇勒索軟體攻擊之事件,將受損之機能復原,須有明確的程序並加以落實。 7.資訊共享(Information Sharing): 須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 8.持續精進(Continuous Learning): 藉由過往之攻擊事件獲取知識,以提高應變勒索軟體之能力,建立完善的交易環境。 此要點並非強制規範,因此不具拘束力,且整合了2016年G7所公布的「G7網路安全文件之要素」(G7 Fundamental Elements of Cybersecurity document)之內容。綜上述CEG所提列重點,針對我國金融機關在抵禦網路攻擊之議題上,應如何完善資安體制,與日本後續因應勒索軟體之政策,皆值得作為借鏡與觀察。