美國發布網路事件協調準則
隨著網路技術的進步,資安事件亦日益加增,為了因應日趨頻繁的網路攻擊,美國總統歐巴馬於2016年7月26日發布了對於美國資安事件發生時聯邦部門間協調之指令(PRESIDENTIAL POLICY DIRECTIVE/PPD-41),該指令不僅提出聯邦政府對於資安事件回應的處理原則,並建立了聯邦政府各部門間對於發生重大資安事件時之協調指引。
指令中就資安事件及重大資安事件進行了定義:資安事件包含資訊系統漏洞、系統安全程序、內部控制、利用電腦漏洞的執行;而重大資安事件則指可能對國家安全利益、外交關係、美國經濟、人民信心、民眾自由或大眾健康與安全發生明顯危害的有關攻擊。 此外,就遭遇資安事件時,列舉出下列幾點作為聯邦政府因應資安事件時之原則:(A)責任分擔;(B)基於風險的回應;(C)尊重受影響者;(D)政府力量之聯合;(E)促進重建及恢復。
聯邦政府機關於因應資安事件時,需同時在威脅、資產及情報支援三方面上做相關之因應。其中司法部透過轄下聯邦調查局(Federal Bureau of Investigation, FBI)、國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force, NCIJTF)負責威脅之回應;國土安全部(Department of Homeland Security, DHS)則透過轄下的國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)負責保護資產之部分,而情報支援部分,則由國家情報總監辦公室(Office of the Director of National Intelligence)下之網路威脅情報整合中心(Cyber Threat Intelligence Integration Center)負責相關事宜。如係政府機關本身遭受影響,則機關應處理該資安事件對其業務運作、客戶及員工之影響。另在遭遇重大資安事件時,為使聯邦政府能有效率因應,指令指出聯邦政府應就國家政策、全國業務及機關間為協調。此外,指令中亦指示國土安全部及司法部應建立當個人或組織遭遇資安事件時得以聯繫相關聯邦機關之管道。
該指令加強了現有政策的執行,並就美國機構組織上於資安事件與現行政策之互動做了進一步之解釋。
施弘文
專案經理 編譯整理
Presidential Policy Directive/PPD-41, Presidential Policy Directive -- United States Cyber Incident Coordination, https://www.whitehouse.gov/the-press-office/2016/07/26/presidential-policy-directive-united-states-cyber-incident (last visited Aug. 29, 2016).
Countering the Cyber Threat, New U.S. Cyber Security Policy Codifies Agency Roles,https://www.fbi.gov/news/stories/new-us-cyber-security-policy-codifies-agency-role (last visited Aug. 30, 2016).
Statement By Secretary Jeh C. Johnson Regarding PPD-41, Cyber Incident Coordination,https://www.dhs.gov/news/2016/07/26/statement-secretary-jeh-c-johnson-regarding-ppd-41-cyber-incident-coordination (last visited Aug. 30, 2016).
2018年1月10號,美國交通部部長趙小蘭於出席內華達州拉斯維加斯之消費者科技聯盟(Consumer Technology Association)大會時表示,美國交通部正在研擬發布新版之聯邦自駕車政策3.0(Federal Automated Vehicle Policy 3.0, FAVP3.0)以因應自動駕駛技術於未來對安全性、機動性與消費者權益之衝擊。該聯邦自駕車政策3.0將會是一個綜合整體運輸業概況之自動駕駛政策,其將讓自動化運輸系統,包括,車子、貨車、輕軌、基礎設施與港口得以安全的整合。 為了達成上述目的,且讓公眾的意見得以協助辨識美國聯邦法規必須配合修正之部分,並鼓勵更多的創新研發。美國交通部於其網站上也發起了數個自動化車輛技術之意見徵集,讓其能更準確的找出當前美國法規對於自動駕駛技術創新所造成之阻礙。 該意見徵集主要分為四項,第一項是由美國交通部聯邦公路管理局(Federal Highway Administration, FHWA)主管,針對如何將自動駕駛系統整合進入公路運輸系統之資訊徵求書(Request for Information, RFI)。 第二項與第三項則是由聯邦公共運輸局(Federal Transit Administration, FTA)分別針對自駕巴士研究計畫(Automated Transit Buses Research Program)與移除相關障礙所發出之意見徵詢書(Request for Comments, RFC)。 最後一項則是由交通部國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)主管,針對移除自駕車法規障礙所發布之意見徵詢。
美國國家安全局發布「軟體記憶體安全須知」美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下: 1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。 2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。 3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。 搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。
美國發明法(Leahy-Smith America Invents Act,AIA)第18條修正案之觀察美國國會於今年5月針對美國發明法(Leahy-Smith America Invents Act,AIA)第18條提出擴張性修法。美國發明法第18條係規範專利改革過渡期間涵蓋商業方法專利之複審程序(Transition Program for Cover Business Method Patents Review, CBM),並且定有落日條款,預計將在2020年9月16日失效。本次修正案研擬將落日條款刪除以外,將適用對象從原先適用於金融產品或服務(a financial product or service)之商業方法專利(Business Method Patents)修正為適用於企業、商品或服務(used in the practice, administration, or management of enterprise、product or service)之商業方法專利,此將擴張商業方法專利複審程序之適用範圍。 奇異電子(GE Co.)、3M(3M Co.)、禮來(Lilly & Co.)、施樂(Xerox Corp.)等多家產業界知名公司於今年(2013)9月19日發出聯合信函反對美國國會此次針對美國發明法第18條的擴張性修法。信中表示本次修法將意味著數據處理專利(Data Processing Patents)等尖端的癌症治療方法到汽車安全系統等都可能包含在內,可提起專利侵權的範圍將擴大至難以界定的程度,再者刪除落日條款,會造成諸多不確定性與風險阻礙科技創新的持續投入。 然而,產業界並非意見一致,諸如谷歌(Google Inc.)、臉書(Facebook Inc.)、沃爾瑪(Wal-Mart Stores Inc.)等知名公司則立場相左,早於今年7月即率先表示贊成,聲明此次修法提供創新者一個積極保護自身專利的具體手段。由此足見歐巴馬政府與立法者在專利法制改革中,必然要面對難以預測的產業效應和衝擊,從而增加其制度改革策略思考和制度設計的難度。
新加坡未來移動數據流量的疏通計畫之觀察Cisco於2012年2月發布預測2011至2016年全球行動數據流量將從2011年每月0.6 Exabytes上升至2016年每月10.8 Exabytes,以高達78%的年複合成長率(CAGR, Compound Annual Growth Rate)逐年攀升。根據此數據,新加坡亦預測其國內行動數據流量將以64%的年複合成長率,從2010年3.1Petabytes上升至2015年37 Petabytes。目前新加坡的電信業者為因應與日益龐大的數據流量,已著手嘗試各項商業模式,包含分級訂價(tiered pricing)、流量管理政策(traffic policy management control)、網路最佳化(network optimisation)、既有基礎建設升級(upgrading of existing infrastructure)以及採用如長期演進技術(LTE,Long Term Evolution)等新興技術和行動數據疏導策略(Mobile data offloading strategies)的發展。 另外職掌新加坡電信政策的新加坡資訊通信發展管理局(IDA Singapore),於2012年4月亦針對4G通訊系統及服務,提出頻譜重新分配之建議書,並諮詢各界之意見,以因應下階段全球移動數據領域之發展。IDA於建議書中計畫擬定以1800MHz、2.3GHz以及2.5GHz作為未來發展4G技術的主要頻段。為滿足產業所需之頻譜量,IDA預計於1800MHz頻段分別釋出2*70的對稱頻譜(paired spectrum)、於2.3GHz頻段釋出30MHz的非對稱頻譜(Unpaired Spectrum),而於2.5GHz頻段則同時釋出2*60MHz的對稱頻譜與30MHz的非對稱頻譜。除了釋出足夠頻譜外,為考量未來技術實驗以及電信業者發展全國性網路服務可能需求2*20MHz的對稱頻譜或20-30MHz的非對稱頻譜,IDA亦分別於前述三個頻段中預留2*5MHz(1800MHz)、20MHz(2.3MHz)以及於2.5MHz區段中預留2*10的對稱頻譜與20MHz的非對稱頻譜。 不過目前受到各國推崇的700MHz頻段卻未被新加坡納為現階段孕育4G技術的主要區域,同時對於900MHz是否於本次拍賣一同釋出以發展4G技術,新加坡政府仍持保留態度。對此,新加坡主要業者包括SingTel與StarHub皆已向iDA提交回覆建議書,表達此舉不符合國際未來發展趨勢並期待IDA能重新作出調整。