聯網自動駕駛車(CAV)

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

根據美國瑞生國際律師事務所（Latham & Watkins）於2024年1月發布的ESG年度報告指出，隨漂綠議題延燒，ESG報告不受信任為一課題，因此國際逐步擴大ESG監管，多國透過立法強制企業應揭露永續報告書或供應鏈資訊，比如：歐盟於2023年1月生效之《企業永續報告指令》（Corporate Sustainability Reporting Directive, CSRD），要求企業揭露的永續資訊需增加供應鏈資訊的透明度；美國證券交易委員會（SEC）於2024年3月6日通過規則，要求上市公司及公開發行公司揭露碳排放報告等氣候風險相關資訊。 為因應ESG帶來的挑戰，報告建議企業應採取流程化管理方式，了解產品進出口涉及的其他國家對ESG揭露資訊的要求，加以規劃並建置資料控管規範、進行人員教育訓練以及確認ESG相關資料的所有權歸屬。 由於碳排放量的計算沒有一致標準，且難以確保供應鏈上下游所提供的碳排資訊真實、未經竄改等問題，外界不容易信任企業永續發展書提倡的供應鏈減碳策略。國內企業可參考資策會科法所創意智財中心發布的《重要數位資料治理暨管理制度規範（EDGS）》，透過流程化管理，從制度規劃及留存供應鏈二氧化碳排放量或二氧化碳減量等產品相關資料歷程來增進ESG資料透明度。 本文同步刊登於TIPS網（https://www.tips.org.tw）

　　FCC日前發佈一份關於電線寬頻上網之備忘錄命令及意見（MO＆O, Memorandum Opinion and Order），除了再度確認FCC於2004年時就接取電線寬頻上網系統所為之決議外，同時也否決業餘無線電社群、電視廣播業者、航空工業等所提出限制電線寬頻上網之要求，但FCC採納保護無線電天文台以及航空站使免於電線寬頻上網干擾之規定。 FCC表示，推動電線寬頻上網可以幫助居住於鄉村地區之美國民眾接取高速網路，而且目前寬頻網路市場的主導者有線電視網路上網（cable）業者及數位用戶迴路業者（DSL）亦將會因電線寬頻上網之發展而被迫降價，讓消費者可以更低廉的價格接取寬頻網路。不過，FCC委員Michael Copps 提醒，雖然眼前FCC在電線寬頻上網以及可能產生之干擾間似乎已達成平衡，但FCC仍應繼續密切關注電線寬頻上網對其他使用者之干擾問題，尤其在卡崔那（Katrina）颶風的慘痛經驗中已證實業餘無線電之發展與貢獻具有高度價值，因此，對於電線寬頻上網可能對業餘無線電用戶之干擾部分應格外注意。

　　英國商業、能源及產業策略部（Department for Business, Energy and Industrial Strategy, BEIS）於2022年11月16日發布行政命令，以國家安全為由要求登記於荷蘭的中資公司Nexperia BV出售其於2021年7月收購之Nexperia Newport Limited（NNL）（原Newport Wafer Fab）至少86%的股份。 　　NNL擁有英國最大的晶圓製造工廠，其每月生產約32,000片晶圓，並大多出口至亞洲用以生產半導體。今（2022）年5月英國政府發現中國政府擁有Nexperia BV的母公司聞泰科技大約30％之股份後，即依《2021年國家安全與投資法》（National Security and Investment Act）第26條調查Nexperia BV於2021年7月收購NNL之行為，並認為該行為恐使NNL的半導體生產技術與知識（technological expertise and know-how）外流至中國，進而損害英國利益。同時，該行政命令亦提及NNL工廠位置靠近英國重要之南威爾斯半導體產業聚落，若讓Nexperia BV繼續經營該工廠，將使Nexperia BV能輕易的接觸相關生產技術與知識，佐以Nexperia BV母公司與中國政府的關係，恐有危害英國國家安全之虞。 　　Nexperia BV表示將提出訴願以推翻該行政命令。惟英國下議院外交事務專責委員會（Foreign Affairs Select Committee）主席表示，英國不會將關鍵基礎設施轉移給一家與中國政府有明確往來的公司，以確保其戰略資產不會因短期利益而落入獨裁國家手中；並補充說明，此一決定亦代表英國政府將更重視國家安全，同時避免具有領先地位的科技公司與研究落入競爭對手。