美國發表網路安全框架
2014年2月12日,美國發表「網路安全框架(Cybersecurity Framework)」,該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成,其蒐集了全球現有的標準、指引與最佳實務作法,最後由國家標準技術局(National Institute of Standard and Technology, NIST)彙整後所提出。
本框架主要可分成三大部份:
1.框架核心(Framework Core)
框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期,藉由這五項功能的要求項目與參考資訊的搭配運用,可使組織順利進行網路安全管理。
2. 框架實作等級(Framework Implementation Tiers)
共分成局部(Partial)、風險知悉(Risk Informed)、可重複實施(Repeatable)、合適(Adaptive)四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察,瞭解組織目前的安全防護等級。
3. 框架側寫(Framework Profile)
框架側寫係組織依照本框架實際操作後所產出的結果,可以協助組織依據其企業需求、風險容忍度,決定資源配置的優先順序,進一步調整其網路安全活動。
此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考,而針對已有建立網路安全架構者,該框架並未意圖取代組織原先的風險管理程序和網路安全計畫,而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。
2016年1月, 隸屬英國商業、創新和技術部 (Department for Business, Innovation and Skills,BIS)的科學辦公室(Government Office for Science)發布「分佈式分類帳技術:區塊鏈以外(Distributed Ledger Technology:beyond block chain)」研究報告。本篇報告由產官學界合作完成,主要在評估分佈式分類帳技術可以運用在哪一些公私領域,並決定政府以及私人應該採取哪些行動以促進分佈式分類帳技術可被有益運用,並避免可能帶來的傷害。 該份研究報告認為,分佈式分類帳技術可在多個領域協助政府機構,包含徵稅、提供福利、發行護照、土地登記、確保商品供應鏈並且確保政府記錄與服務的完整性。相較於其他網路系統,分佈式分類帳技術較不易受駭客攻擊,而且由於每個参與者都有一份帳簿副本,如果有惡意竄改的狀況,也可以輕易被發現,但這不表示分佈式分類帳技術就不會被駭客攻擊。 數位五國(Digital 5,D5)之一的愛沙尼亞,已多年實驗運用分佈式分類帳技術於公領域服務多年。愛沙尼亞政府透過私人公司運用分佈式分類帳技術建制「免金鑰簽名設施(Keyless Signature Infrastructure,KSI)」,KSI允許愛沙尼亞公民驗證其在政府資料庫資訊的完整性,並避免內部人透過政府網路從事非法活動。KSI確保公民資訊安全以及準確,因而可協助愛沙尼亞政府提供數位化的公司登記以及稅務服務,減少政府以及社會大眾的行政作業負擔。 除此之外,分佈式分類帳技術也有助於確保商品以及智慧財產權的所有以及出處。例如Everledger此一系統可用於確保鑽石的身分,從礦產、切割到銷售,可減少並避免欺詐以及「血鑽石」進入市場。 簡而言之,分佈式分類帳技術提供政府可減少詐欺、腐敗、錯誤以及紙上作業成本的框架,並透過資訊分享、公開透明以及信任,具有可重新定義政府與公民關係的潛力。對於私領域而言也具有同樣可能性,報告特別提出可透過分佈式分類帳技術發展「智慧契約」,可增加信任度並提高效率。據此,本報告針對政府部門提出八大建議: (1) 應成立專責部門,並與產業、學界緊密合作,並應考慮成立臨時性的專家諮詢團隊。 (2) 英國的研究社群應該要投入研究確保分佈式分類帳技術具備可即性、安全性以及內容準確性。 (3) 政府應支持為地方政府成立分佈式分類帳技術實地教學者,匯聚所有測試技術以及其運用的所需元素。 (4) 政府需要思考如何為分佈式分類帳技術建立妥適的法制框架。法規需要配合新科技應用技術的發展而進步。 (5) 政府應該與產學合作確保相關標準可以符合分佈式分類帳技術及其內容完整性、安全性以及隱私的需求。 (6) 政府應與產學合作確保最有效率以及最可用的身分認證網路協議可為個人及組織所使用,這項工作應與國際標準的發展與執行緊密連結。 (7) 政府應對分佈式分類帳技術進行試驗,以評估該項技術在公領域的可行性。 (8) 建議成立跨部門的利益群體,結合分析以及政策群體,以生成並發展潛在使用案例,並且在公民服務中提供具備知識的專家人員。 除了八大建議,管理與法制上,本報告指出分佈式分類帳技術具有兩種管理規範:法律規範以及技術規範。法律規範是「外部」規範,法律規範可能會被違反,緊接著面臨違法處罰的問題。技術規範是「內部」規範,假如違反技術規範,「錯誤(error)」產生無法運作,因此「規範」本身就可以確保會被遵循。換句話說,技術規範可以節省法律規範的執法成本。另外一方面,分佈式分類帳技術為去中心化技術,如果要以法制管理,也只能在参與者身上施加法律義務,例如Bitcoin,只能對於提供Bitcoin交易服務的平台施加法律義務。美國紐約州金融服務部所發行的比特幣交易執照BitLicnese即為一例。因此,基於去中心化的特性,報告建議政府單位應該要儘量参與技術標準的制定,並且配合技術標準制定相關法律,法律規範與技術規範兩者應該要交互影響。
美國聯邦上訴法院維持地方法院之原判,判定暢銷藥物Plavix 所基於的關鍵專利為有效繼美國紐約南區地方法院於2007年6月判定暢銷藥物Plavix所基於的專利為有效後,美國聯邦上訴法院於2008年12月再次認定Plavix之專利為有效。此判決有助於阻止Plavix學名藥進入美國市場直至該專利於2011年到期。 Plavix為一降低血液黏稠度之藥物,乃Bristol-Myers Squibb Co. 公司最銷售之產品及Sanofi-Aventis公司第二銷售之產品。加拿大Apotex公司宣稱Plavix之專利為無效,於2006年開始在美國販售Plavix 之學名藥。Bristol-Myers Squibb 與Sanofi-Aventis於贏得訴訟後表示將要求Apotex Inc.支付於販售學名藥期間對兩家藥商所造成的損失。 澳美國聯邦上訴法院法官表示地方法院已徹底的討論Apotex 所提出的專利無效論點,否決Apotex所提出的該專利並未包含新發明及Sanofi-Aventis之科學家使用已知研究方法及已知化合物製成Plavix 之主要組成物。上訴法院法官表示於判斷非顯而易見上,使用「後見之明」(hindsight)是不適合的。 針對此判決,Apotex公司表示他們認為上訴法院之決定為錯誤的並將持續努力尋求於美國銷售有品質的且一般大眾負擔得起的Plavix 學名藥。
國際間科學專家利益衝突管理規範趨向-以美、歐藥品審查機構科學諮詢委員會專家利益衝突解決政策與機制為例 歐盟與17家社交網站業者達成協議,強化青少年上網安全受惠於網路的高度普及與上網費用的調降,網路已成為民眾日常生活所不可或缺的事項。由於整體網路人口中,青少年占有極高的比重,如何提供青少年一個安全的網路空間,向為各國所關注的議題。 近年來社交網站在歐洲發展迅速,根據統計,現階段歐洲約有4,170萬的網路使用者,參與各種類型的社交網站。為防止日益嚴重的網路霸凌(Cyber-Bulling)及兒童賣春等問題,歐盟於2009年2月與MySpace、Facebook等17家社交網站達成協議,相關業者承諾將於自家網站上提供一個「申告侵害」(Report Abuse)的按鍵,便利使用者快速通知業者來自於他人的不合宜接觸或行為,以防止青少年受到網路霸凌或網路援交訊息的困擾。 社交網站業者除承諾提供上述通報機制外,在此次協議中,業者亦承諾強化青少年個人隱私的保護,以避免有心人士輕易透過社交網站,取得青少人之私密資料。