美國發布網路事件協調準則
隨著網路技術的進步,資安事件亦日益加增,為了因應日趨頻繁的網路攻擊,美國總統歐巴馬於2016年7月26日發布了對於美國資安事件發生時聯邦部門間協調之指令(PRESIDENTIAL POLICY DIRECTIVE/PPD-41),該指令不僅提出聯邦政府對於資安事件回應的處理原則,並建立了聯邦政府各部門間對於發生重大資安事件時之協調指引。
指令中就資安事件及重大資安事件進行了定義:資安事件包含資訊系統漏洞、系統安全程序、內部控制、利用電腦漏洞的執行;而重大資安事件則指可能對國家安全利益、外交關係、美國經濟、人民信心、民眾自由或大眾健康與安全發生明顯危害的有關攻擊。 此外,就遭遇資安事件時,列舉出下列幾點作為聯邦政府因應資安事件時之原則:(A)責任分擔;(B)基於風險的回應;(C)尊重受影響者;(D)政府力量之聯合;(E)促進重建及恢復。
聯邦政府機關於因應資安事件時,需同時在威脅、資產及情報支援三方面上做相關之因應。其中司法部透過轄下聯邦調查局(Federal Bureau of Investigation, FBI)、國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force, NCIJTF)負責威脅之回應;國土安全部(Department of Homeland Security, DHS)則透過轄下的國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)負責保護資產之部分,而情報支援部分,則由國家情報總監辦公室(Office of the Director of National Intelligence)下之網路威脅情報整合中心(Cyber Threat Intelligence Integration Center)負責相關事宜。如係政府機關本身遭受影響,則機關應處理該資安事件對其業務運作、客戶及員工之影響。另在遭遇重大資安事件時,為使聯邦政府能有效率因應,指令指出聯邦政府應就國家政策、全國業務及機關間為協調。此外,指令中亦指示國土安全部及司法部應建立當個人或組織遭遇資安事件時得以聯繫相關聯邦機關之管道。
該指令加強了現有政策的執行,並就美國機構組織上於資安事件與現行政策之互動做了進一步之解釋。
施弘文
專案經理 編譯整理
Presidential Policy Directive/PPD-41, Presidential Policy Directive -- United States Cyber Incident Coordination, https://www.whitehouse.gov/the-press-office/2016/07/26/presidential-policy-directive-united-states-cyber-incident (last visited Aug. 29, 2016).
Countering the Cyber Threat, New U.S. Cyber Security Policy Codifies Agency Roles,https://www.fbi.gov/news/stories/new-us-cyber-security-policy-codifies-agency-role (last visited Aug. 30, 2016).
Statement By Secretary Jeh C. Johnson Regarding PPD-41, Cyber Incident Coordination,https://www.dhs.gov/news/2016/07/26/statement-secretary-jeh-c-johnson-regarding-ppd-41-cyber-incident-coordination (last visited Aug. 30, 2016).
世界第二大運動用品製造商 Adidas 於2012年5月15日對滑板運動鞋製造商 Word Industries與體育用品零售商Big 5 提出商標侵權告訴,同時向U.S. District Court in Portland, Ore.請求金錢損害賠償與定暫時狀態處分。 Adidas 主張Word Industries設計於鞋身的三平行斜條紋與他們的三斜線商標太像了, 易使消費者產生混淆誤認,有欺騙消費者之嫌,並將淡化與損害Adidas的品質。 Word Industries 總裁則主張公司描繪的”W”是一個新的式樣且使用多年,有別於Adidas的三斜線。 Word Industries 於鞋身設計的”W”樣式,頂端帶著箭頭的形狀延伸至鞋緣,側身望去似乎只剩下三斜線,便因此落入與Adidas商標近似之爭議。 Adidas 積極捍衛商標,紛紛對於疑似模仿其三斜線標誌的業者採取法律途徑尋求救濟,像是控告Payless ShoeSource販售二至四條紋的運動鞋,侵犯其商標權,更因此判賠 6億5千萬美元,達成和解;甚至台灣本土品牌Jump運動鞋面設計的”遞減三斜線” 也在其中。
法商Parrot商標侵權及商業秘密洩漏案對外商於中國大陸規範人員管理的啟發 德國聯邦內政部提出「資訊科技安全法」(草案),保障關鍵基礎設施及資訊安全德國聯邦內政部繼與德國聯邦經濟暨能源部與交通暨數位基礎設施部共同擬定之「數位議程2014 - 2017」(Digitale Agenda 2014 – 2017)政策裏,於本年8月19日提出資訊科技安全法(草案)(IT-Sicherheitsgesetz)。該草案的提出目的為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施。德國內政部長de Maizière在新聞發表會上,宣稱要讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範。除外,亦欲藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。 該草案的主要對象係關鍵基礎設施營運者(Kritische Infrastrukturbetreiber),例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。「關鍵基礎設施」的定義並未涵蓋德國聯邦政府部門之間使用的數據通信系統。不過,究竟係在這些基礎設施領域的哪些企業該受到資訊科技法的約束,德國內政部將陸續與各相關部會研討後再以行政法規的方式明確表列出來。 關鍵基礎設施企業必須採取適當的保護措施以保障關鍵基礎設施的正常運行。所採取的保護措施可符合同業或同業公會裡所認可的最新資訊安全標準,且得符合一定的付出成本比例。不過衡量標準,最後還是得由德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)〉做認定。上述之企業需兩年內完成安全防護措施的設置。為防止電信系統非法入侵,該草案也修增德國電信法(Telekommunikationsgesetz)為施予電信業者更高的資訊安全防護標準。針對網際網路服務提供者(Internet Service Providers, ISP)也特別施加設置防範駭客攻擊的尖端防護措施義務。 關鍵基礎設施業者的資訊安全系統均須透過德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)每兩年定期審核,若沒通過則會被要求依德國聯邦資訊安全局的標準去處裡該安全漏洞。 若是上述業者的資訊安全系統有受損,並且可導致關鍵基礎設施的故障或損毀,該企業需通報德國聯邦資訊安全局,且該記錄可匿名化。但是,若是因駭客攻擊直接導致關鍵基礎設施的故障或損毀,該企業則需立即通報德國聯邦資訊安全局,不可匿名。
韓國「2021年經濟政策」韓國財政經濟部(Ministry of Economy and Finance)於2020年12月17日發布「2021年經濟政策」(2021 Economic Policies)。2021年經濟政策中包含兩大重點,分別為因應新型冠狀病毒影響下的不確定性,盡快恢復經濟成長動能,以及推動產業創新與結構轉型,以培植未來的經濟成長動力。政策文件中指出,儘管2020年經濟成長率因疫情影響而表現低迷,但仍期許2021年經濟能夠盡快好轉,改善投資、出口與國內就業。 針對如何盡快恢復經濟成長動能議題,政策文件指出首先應處理因疫情帶來的不確定性,除了維持擴張性財政政策,以增加政府支出刺激總體需求外,在經濟成長與疫情防治間應取得平衡並加強風險管理;其次為透過租稅減免促進消費、擴大投資額度與提供出口融資,以及提供資金以扶植中小企業、提供優惠貸款協助大型企業度過疫情難關、鬆綁法規以發展地方經濟等一連串措施,來達到恢復經濟成長動能的目標。 而在推動產業創新與結構轉型上,將持續投資於5G應用與6G技術的發展上,推動數位經濟與數位政府系統建構,具體措施包含減免投資5G應用貸款稅率2%、籌集投資數位新政基金、完善智慧醫療應用等。此外在扶植新創政策上,則包含建立新興科技實驗場域(K-test bed),以政府採購扶植新興科技、提供商機以及協助銜接海外市場,修正創投法規開放附認股權憑證之低利貸款以引進矽谷創投資金,以及排除可轉換可贖回之債務認定以降低政府研發補助申請門檻等,以有效扶植創新能量成為未來的經濟成長動力。