華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解

　　在2013年的國際資訊安全會議（RSA Conference）上，資安專家紛紛表示，將Big Data技術應用於資訊安全分析的項目上，確實可以幫助企業建立更佳的情勢判斷能力，但在實際執行過程中是一大挑戰。 　　資安廠商如RSA和賽門鐵克公司，在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標，這是傳統的特徵偵測（signature-based）安全工具無法做到的。 　　不像傳統的安全手段著重於阻斷攻擊，新的技術強調偵測並立即回應違犯行為，也就是提前遏止任何違犯行為，協助企業作全面性的偵測而不擔心有所遺漏。 　　由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊，巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類，而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型，取代部署特定產品和外圍系統的防禦。 　　美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 　　「駭客只需要攻擊成功一次，但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅，更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說，以巨量資料技術強化資訊安全是很好的想法。 　　不過另有其他的說法，金融服務企業LSQ的首席安全及法務主管皮爾遜認為，許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了，這才是問題所在。他表示，目前現存的SIEM（安全性資訊及事件管理）工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內，但真正的問題是，SIEM工具必須要有能力分析數據並找出關聯性，如此才能偵測到駭客入侵的前兆證據和真實的入侵行為，這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料，而是要如何為資訊安全的目的建立關聯規則和應用方式，以有效率的方式找出有用的巨量數據並進行分析，和留下可供進行訴訟使用的證據。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　德國資料倫理委員會（Datenethikkommission, DEK）於2019年10月針對未來數位化政策中的重點議題發布最終建議報告；包括演算法產生預測與決策的過程、人工智慧和資料運用等。德國資料倫理委員會是聯邦政府於2018年7月設置，由多位學者專家組成。委員會被設定的任務係在一年之內，制定一套資料倫理標準和指導方針，作為保護個人、維持社會共存（social coexistence）與捍衛資訊時代繁榮的建議。 　　最終建議報告內提出了幾項資料運用的指導原則，包含： 以人為本、以價值為導向的技術設計 在數位世界中加強數位技能和批判性思考 強化對個人人身自由、自決權和完整性的保護 促進負責與善意的資料使用 實施依風險調整的監管措施，並有效控制演算法系統 維護並促進民主與社會凝聚力 使數位化戰略與永續發展目標保持一致 加強德國和歐洲的數位主權

　　歐盟執委會（European Commission, EC）於2019年10月9日發布《5G網絡安全風險聯合評估報告》（report on the EU coordinated risk assessment on cybersecurity in Fifth Generation networks），為執委會調查歐盟成員國家5G網路安全風險評鑑。該評估報告將由歐盟網路與資訊安全局（European Union Agency for Network and Information Security, ENISA）後續進一步分析歐盟發展5G行動通訊所帶來的網路安全威脅。 　　報告中顯示，5G網路的安全挑戰，主要來自(1)5G技術關鍵創新：尤其是5G軟體重要組成部分與5G廣泛的服務和應用等技術創新，以及技術創新所帶來的安全性更新；(2)供應商：若5G通訊營運業者對供應商過度依賴，會導致攻擊者可利用的攻擊路徑的增加。 　　5G網路開展將帶來許多影響，包含： 隨著5G網路軟體發展，攻擊者有更多潛在切入點；與軟體有關的安全風險漏洞管理十分重要，供應商內部不良的軟體開發流程會使攻擊者容易將惡意軟件植入後門，且難以被發現。 對單一供應商的依賴也會帶來風險增加，包含供應鏈中斷風險、增加供應商變更成本、供應商受到非歐盟國家有意介入的可能性、以及在產品供應瑕疵的情況下營運業者難以採行應變措施等。 隨著5G網絡作為許多關鍵資通訊應用的骨幹，對5G網路可用性、完整性、機密性的威脅將成為國家安全隱憂，也是歐盟未來需要面對的最大的網路安全挑戰。