德國聯邦內政部提出「資訊科技安全法」(草案),保障關鍵基礎設施及資訊安全
德國聯邦內政部繼與德國聯邦經濟暨能源部與交通暨數位基礎設施部共同擬定之「數位議程2014 - 2017」(Digitale Agenda 2014 – 2017)政策裏,於本年8月19日提出資訊科技安全法(草案)(IT-Sicherheitsgesetz)。該草案的提出目的為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施。德國內政部長de Maizière在新聞發表會上,宣稱要讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範。除外,亦欲藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。
該草案的主要對象係關鍵基礎設施營運者(Kritische Infrastrukturbetreiber),例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。「關鍵基礎設施」的定義並未涵蓋德國聯邦政府部門之間使用的數據通信系統。不過,究竟係在這些基礎設施領域的哪些企業該受到資訊科技法的約束,德國內政部將陸續與各相關部會研討後再以行政法規的方式明確表列出來。
關鍵基礎設施企業必須採取適當的保護措施以保障關鍵基礎設施的正常運行。所採取的保護措施可符合同業或同業公會裡所認可的最新資訊安全標準,且得符合一定的付出成本比例。不過衡量標準,最後還是得由德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)〉做認定。上述之企業需兩年內完成安全防護措施的設置。為防止電信系統非法入侵,該草案也修增德國電信法(Telekommunikationsgesetz)為施予電信業者更高的資訊安全防護標準。針對網際網路服務提供者(Internet Service Providers, ISP)也特別施加設置防範駭客攻擊的尖端防護措施義務。
關鍵基礎設施業者的資訊安全系統均須透過德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)每兩年定期審核,若沒通過則會被要求依德國聯邦資訊安全局的標準去處裡該安全漏洞。
若是上述業者的資訊安全系統有受損,並且可導致關鍵基礎設施的故障或損毀,該企業需通報德國聯邦資訊安全局,且該記錄可匿名化。但是,若是因駭客攻擊直接導致關鍵基礎設施的故障或損毀,該企業則需立即通報德國聯邦資訊安全局,不可匿名。
Waymo是Google旗下發展無人車技術的公司,其員工Anthony Levandowski(以下簡稱Levandowski)於2016年2月離職並成立自動駕駛卡車公司Otto,而Uber於同年8月以6.8億美元併購該公司,Levandowski則任職於Uber的自動駕駛車部門。 Waymo在收到供應商誤發的電子郵件發現內含Uber的光學雷達(以下簡稱LIDAR)電路板工程圖,據Waymo表示,LIDAR是一種發展自動駕駛不可或缺的雷射感測器,該工程圖與Waymo設計的工程圖非常相似,此為工程師投入上千小時並投入數百萬美元研發而成。Waymo因而於今(2017)年2月對Uber提出告訴,主張Uber竊取其營業秘密與智慧財產,並表示Levandowski離開Waymo前曾使用私人硬碟下載公司上千筆機密資料,尚包括數名離職員工亦曾下載機密資料,且目前都任職於Uber。 今(2017)年5月美國加州北區聯邦地方法院依Waymo提出的有利證據,包含Uber明知或應知Levandowski握有1.4萬筆與Waymo智財相關的機密資料仍聘僱其為員工;且有完整紀錄顯示Levandowski離職前曾下載Waymo機密文件。因此裁定要求Uber限制Levandowski與相關員工使用與本案相關的LIDAR技術,且須於今年5月31日前返還Waymo,其中包含會議紀錄和Levandowski與相關員工電話紀錄。惟Uber仍可持續發展其自動駕駛技術,但賦予Waymo的律師及技術專家有權監視Uber未來的商業發展,並要求Uber必須在同年6月前調查Levandowski完整的LIDAR技術書面與口頭溝通紀錄,並提交給Waymo。 另方面,Waymo在此同時也宣布與Uber在美國的主要競爭對手Lyft建立自動車駕駛員的合作夥伴關係,挑戰Uber乘車服務的市場地位。本案將於今年6月7日進行審判程序,後續值得持續關注。
美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。 本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
基因轉殖複製羊 創造生技產業的新利基台灣複製動物技術又邁向新的里程碑。行政院長謝長廷於 9月8日上午宣布台灣第一頭外帶基因轉殖複製羊「寶鈺」,成功繁殖下一代,並將人類第八凝血因子成功遺傳給下一代。 目前人類第八凝血因子市價每公克價值 290萬美元﹙相當於新台幣8千萬元﹚, 全球每年約需要 300公克,預計將創造8億至9億美元價值的市場,由於「寶鈺」母子成為凝血因子供應源,其產值及身價自然十分驚人。雖然距離商品化階段仍有一段距離,但此項技術於世界已屬領先。 「寶鈺」順利產下後代將創下我國體細胞製動物正常繁殖後代之首例,以及開創基因轉殖羊之下一代傳承母羊外源基因人類第八凝血因子之生物科技的突破,未來運用複製與基因轉殖科技,利用家畜泌乳系統作為生物反應器以生產醫藥蛋白,將可成為台灣生技產業之利基點。
概念驗證中心(Proof of Concept Center, PoCC)概念驗證中心(Proof of Concept Center, PoCC)源自美國研究型大學各校為加速大學科研成果商業化,於內部建立的專業型機構。全美第一所PoCC是2001年設立於加州大學聖地牙哥分校的「里比西中心」(the William J. von Liebig)。 為了因應美國大學科研成果商業化過程中所遇到的阻礙,例如:資金與資源缺乏導致研發人員動力不足、研發人員對於市場需求資訊不對等、技術開發提升緩慢以及政府激勵政策不足等問題。PoCC以解決大學與企業之間存在的各種差異與衝突為目標,並透過下列手段強化科技成果商業化動力,提升商業化績效:1、通過種子基金資助,為無法獲得資金支持的早期研究提供經費挹注;2、為大學科研成果商業化提供市場顧問與技術開發諮詢,以及智慧財產權保護等諮商;3、創業人才教育及培訓,促進創業文化並進行創業教育,以增強大學與產業協同創新能力。