美國發表網路安全框架
2014年2月12日,美國發表「網路安全框架(Cybersecurity Framework)」,該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成,其蒐集了全球現有的標準、指引與最佳實務作法,最後由國家標準技術局(National Institute of Standard and Technology, NIST)彙整後所提出。
本框架主要可分成三大部份:
1.框架核心(Framework Core)
框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期,藉由這五項功能的要求項目與參考資訊的搭配運用,可使組織順利進行網路安全管理。
2. 框架實作等級(Framework Implementation Tiers)
共分成局部(Partial)、風險知悉(Risk Informed)、可重複實施(Repeatable)、合適(Adaptive)四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察,瞭解組織目前的安全防護等級。
3. 框架側寫(Framework Profile)
框架側寫係組織依照本框架實際操作後所產出的結果,可以協助組織依據其企業需求、風險容忍度,決定資源配置的優先順序,進一步調整其網路安全活動。
此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考,而針對已有建立網路安全架構者,該框架並未意圖取代組織原先的風險管理程序和網路安全計畫,而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。
英國資訊專員辦公室(Information Commissioner's Office, ICO)於2019年12月20日發布首宗依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)之裁罰。 本案源於英國藥物及保健產品管理局(Medicines and Healthcare products Regulatory Agency, MHRA)接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查,卻意外發現其後院存放大量敏感個資文件,約五十萬個文件檔案皆未做任何資料檔案保護措施,上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料,旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第5條1項第f款、第24條第1項及第32條,裁罰275,000英鎊。其裁罰理由如下: 一、隱私政策並不符合要求,如未述明蒐集個人資料之類別,未訂定個資保存期限,當事人告知聲明不完備,無當事人權利行使等。 二、無適當安全維護措施 三、涉及敏感性個資,違法情狀嚴重 四、未積極配合調查 五、影響層面甚深,導致該藥局配合之上百家療養院,近千名當事人個資受損害。 此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資,有其指標性。除此之外,英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰,實值持續關注後續發展。
美國產業安全局發布2024年版出口管制案例彙編,協助產學界識別違法行為美國商務部產業安全局(Bureau of Industry and Security,下稱BIS)於2024年7月1日發布出口管制刑事與行政執法案例彙編—《別讓這些事情發生在你身上!》(Don’t Let This Happen to You)。彙編內容除介紹BIS各單位的工作目標與組織架構外,也概述主管機關的裁罰手段,包括刑事及行政裁罰、避免行為人即將發生或繼續違法出口、再出口或國內移轉所採取之限制措施(Denial of Export Privileges)、列管制清單、沒收資產等;亦提供人民救濟管道,如提早通報違法行為的自願自主揭露(Voluntary Self-Disclosures)規定等;更收錄新的執法案例。 該彙編以中國、俄羅斯、伊朗及其他地區之出口目的地為主軸,就管制理由涉及國家安全、軍事、大規模毀滅性武器等理由,分別介紹重點違法案例。提供產、學界識別違法行為時之參考。 對於2024年結案的重點案例,重點摘要如下: 1.愛沙尼亞T公司違反美國出口管制規定,非法將「座標磨床」(jig grinder)輸往俄羅斯,分別遭罰34萬美金及48萬美金。 2.英國籍F氏意圖自美國違法輸出工業微波系統(industrial microwave system)及反無人機系統(counter-drone system)至伊朗,遭判18個月有期徒刑。 3.印第安納大學(Indiana University)的布魯明頓果蠅庫存中心(Bloomington Drosophila Stock Center)向多個國家的研究機構及大學出口含有蓖麻毒素A 亞基轉基因(transgenes of the A subunit of the ricin toxin)的轉基因果蠅,而未申請出口許可,遭停止出口,並須對行政人員進行出口管制教育訓練。
美國FirstNet與AT&T協議共建全美公共安全寬頻網美國自911事件後,事後檢討之建議之一為統合全美單一公共安全網路,可供跨部門之第一線救災人員使用。俟後美國於2008年拍賣700MHz頻段 (Auction 73)時,原本將Block D (788-793MHz/ 758-763MHz)共10MHz規劃為全國單一執照(Nationwide License),並與公共安全(public safety)頻段相連,得標者須與美國政府簽訂網路分享協議(Network Sharing Agreement, NSA),在必要時供緊急服務優先使用,惟該頻段歷經兩次拍賣均低於底價流標。2012年,商務部成立獨立機構First Responder Network Authority (下稱FirstNet),規劃如何統合所有與公共安全相關之通訊網路,FCC在2016年將前述流標之700MHz頻段撥交FirstNet使用。 FirstNet 2017年3月宣布與AT&T達成25年之合作協議,由AT&T協助該機構建置緊急服務人員專用之全國性LTE無線寬頻網路,該網路之主要用途為當緊急事故發生時,第一線之人員可利用該關鍵基礎設施進行通訊聯繫之用。FirstNet與AT&T的合作協議主要包括以下三個部分: FirstNet將提供上下行合計共20MHz 之頻譜 (788-798MHz / 758-768MHz),該頻段係美國主要之LTE頻段,商業價值極高,且設備之生態圈極為成熟。此外,FirstNet也將在未來5年提供65億美金的建設經費,該經費來源為FCC過去頻譜拍賣之標金收入。 AT&T承諾於25年內投入400億美金用於網路基礎設施的建設與維運,並確保網路的覆蓋率。 FirstNet同意在該網路未用於緊急服務時,得做為AT&T商業網路之一部分進行營運,但是當有緊急服務需求時,應立即提供緊急救難使用。 近年來,公共安全災防 (Public Protection and Disaster Relief)寬頻網路已成為許多先進國家的首要推動政策,包含英國與境內第一大電信商Everything Everywhere (EE)合作,芬蘭政府近來亦與電信商Telia共同合作測試LTE技術之公共安全網路。
歐盟針對單一專利制度達成協議歷經多年的討論與僵持後,歐盟各國領袖於2012年6月29日宣布同意建立歐盟單一專利制度,並決定將單一專利法院分別設置於巴黎、倫敦與慕尼黑三個城市。 專利法院的設置地點一直為建立歐盟單一專利制度的最後爭議點,包括英國、德國與法國一直積極爭取單一專利法院設立在他們國家,最後於6月29日終於達成妥協,將單一專利法院分成三個地點:第一審法院中央部門之主要位置將設立於法國巴黎,而法院的第一任院長也將會由法國人擔任,英國倫敦及德國慕尼黑也將分別設立部門,以因應專利訴訟案件的特殊性質,英國倫敦將負責處理跟化學藥學生命科學相關之專利案件,德國慕尼黑則負責處理跟機械工程相關之專利案件。而歐盟單一專利的核發將由歐洲專利局(European Patent Office)負責。 單一專利制度協議僅有25個歐盟國家同意,西班牙及義大利目前選擇不加入,原因是這兩個國家不滿西班牙文及義大利文都沒有被納入為單一專利制度之官方語言,只有法文、德文及英文被訂為單一專利制度之官方語言,西班牙及義大利認為這樣的安排將為位於法國德國及英國的企業帶來不公平的優勢。 此項協議現在將進入歐盟議會進行表決,預計於2014年就可以開始核發歐盟單一專利。