美國參議員提案規範物聯網設備之資安漏洞
美國參議員2017年08月01日提案立法,要求提供給美國政府的物聯網網路連結設備,須符合產業資訊安全標準,同時規範設備供應商,提供之設備必須可持續更新,不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員,共和黨為Cory Gardner和Steve Daines,以及民主黨的Mark Warner和Ron Wyden。
由於物聯網連結數持續成長,與物聯網相連的裝置與感應器,預計在2020年會超過200億台裝置,相關裝置的資料蒐集與傳輸,同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數,即預設固定程式無法更新,則該裝置連接物聯網時,會因裝置無法更新程式,而可能產生資安漏洞,進而影響物聯網上其它連結設備之安全性。
2016至今,物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。
Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案,主要關注:
- 聯邦政府採購的物聯網相關設備,須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。
- 行政管理和預算局(Direct the Office of Management and Budget ,OMB),須發展可供替代網路級(network-level)資安設備以供限制性資料處理。
- 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商,發布整合性的資安漏洞揭露指導原則。
- 免除資安研究人員基於誠實信用研究時,所揭露與資安漏洞有關之法規責任。
- 要求所有執行機構清點所有連結物聯網的設備。
- Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device
- Steve Daines, U.S. Senators to Introduce Bill to Secure
- Internet of Things Cybersecurity Improvement Act of 2017
- Dustin Volz, U.S. senators to introduce bill to secure
- Rob Price, US lawmakers are trying to fix the security nightmare that is the
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
黃上川
法律研究員 編譯整理
Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device, https://www.warner.senate.gov/public/index.cfm/pressreleases?ID=06A5E941-FBC3-4A63-B9B4-523E18DADB36 (last visited Aug. 4, 2017)
Steve Daines, U.S. Senators to Introduce Bill to Secure 'Internet of Things', https://www.daines.senate.gov/news/in-the-news/us-senators-to-introduce-bill-to-secure-internet-of-things (last visited Aug. 4, 2017)
Internet of Things Cybersecurity Improvement Act of 2017, https://zh.scribd.com/document/355269230/Internet-of-Things-Cybersecurity-Improvement-Act-of-2017 (last visited Aug. 4, 2017)
Dustin Volz, U.S. senators to introduce bill to secure 'internet of things', Reuters, http://www.reuters.com/article/us-usa-cyber-congress-idUSKBN1AH474 (last visited Aug. 4, 2017)
Rob Price, US lawmakers are trying to fix the security nightmare that is the 'internet of things', Business Insider, http://www.businessinsider.com/r-us-senators-to-introduce-bill-to-secure-internet-of-things-2017-8 (last visited Aug. 4, 2017)
歐盟執委會(European Commission)於去(2011)年11月底宣布,與歐洲電機工程領導組織Orgalime聯盟進行合作,將設立「電動車整合建設示範計畫」,加強推動業界示範營運實務經驗,並結合ICT技術發展,推動歐洲電動車蓬勃發展。歐盟於2011年6月所制定「2011交通政策白皮書--(2011 White Paper on Transport)」,3月所公告「歐盟2050交通遠景(Transport 2050)」規劃政策均係將「電動車產業」視為推動歐盟交通運輸政策之重要支柱;並且,歐盟更是於同年3月所制訂「2011能源效率推動方案(Energy Efficiency Plan 2011)」,明訂運輸專章,宣示將落實推動境內電動車產業相關投資、技術發展及基礎建設。 並且,歐盟對於電動車推動策略,係定位為結合ICT技術與交通工具之重要實踐。由歐盟執委會所支持成立的歐洲綠色車輛促進組織--「ICT4FEV」,其於2010年12月所公布「ICT for the Fully Electric Vehicle」及所2009年10月所制訂「European Roadmap Electrification of Road Transport」,宣示電動車之推動,對於節約能源與氣候保護的關鍵影響因素,並且規劃於科技領域各項研發工作,強化ICT技術、相關零組件及其系統,可扮演之重要角色,包括儲能系統、運輸技術、車輛整合、安全、電網整合運輸系統整合等。ICT4FEV並宣示未來將持續推動及檢視政府應備規範,並進行相關法令之調修工作。
美國眾議院通過電信基礎設施安全四大法案,以防止採用構成國家安全風險的設備美國眾議院(United States House of Representatives)於2021年10月20日通過安全設備法案(Secure Equipment Act)、通訊安全諮詢法案(Communications Security Advisory Act)、資通訊科技戰略法案(Information and Communication Technology Strategy Act)與國土安全部軟體供應鏈風險管理法案(DHS Software Supply Chain Risk Management Act),以提高網路之可信任度、防止採用構成國家安全風險的設備、支持小型通訊網路供應商,並促進產業供應鏈的經濟競爭力。美國總統拜登(Joseph Robinette Biden Jr.)於同年11月11日完成簽署《安全設備法》。 《安全設備法》旨在禁止聯邦通訊委員會(Federal Communications Commission, FCC)頒發設備許可予構成美國國家安全風險之公司,其目的係為防止美國的網路系統遭受中國大陸設備的監控,保護美國公民的隱私與安全。近年來,美國以國家安全與技術、隱私保護為由,逐步以政府禁令或動用政府影響力,防堵華為、中興等其認為與中國政府關係密切之中國通訊設備業者。自2019年5月15日美國白宮頒布之第13873號行政命令,至2021年10月20日美國眾議院通過電信設施基礎安全四大法案,並美國商務部於隔日即發布「禁止出售、出口駭客監視工具予曾有侵犯人權紀錄的專制政府及地緣政治之敵人」等規定,各種限制手段展現美國保護國土安全之決心。 此外,《通訊安全諮詢法案》、《資通訊科技戰略法案》與《國土安全部軟體供應鏈風險管理法案》分別就通訊網路的安全性、可靠性與操作性;資通訊技術供應鏈報告(例如:定義何謂「對美國經濟競爭力至關重要的資通訊技術」等)」;以及資通訊技術或服務合約之指導方針如何改善國家網路安全等相關事項予以規範。目前,此三大法案皆於參議院二讀後提交至委員會,後續發展應密切關注。
台灣蕨類大會師台灣蕨類資源相當豐富,為保存台灣原生蕨類植物資源,我國政府於和平鄉鳥石坑規劃成立「蕨類園」,共蒐集台灣原生種蕨類 32科200多種,經過4年培育,蕨類生長茂盛,是很好的科學研究與生活旅遊教材。根據研究,台灣蕨類共37科、約620種,「蕨類園」的目標希望蒐集300至400種台灣中低海拔原生蕨類,做為種源保存、學術研究與解說教育之用。 蕨類是台灣常見的植物之一,在居家圍牆裂縫或庭園造景的石頭縫裡,就可觀察到鱗蓋鳳尾蕨、劍葉鳳尾蕨、細毛小毛蕨和腎蕨等蕨類,但是大多數民眾對蕨類卻非常陌生,因此該中心擬將蕨類納入社區生態與環境教育介紹的主題,教導參觀者如何欣賞各種蕨類之美。 台灣蕨類資源到底有多豐富?根據形容,台灣蕨類比整個歐洲還多,面績是台灣好幾倍大、且非常喜歡蕨類的紐西蘭,也只有 100多種。在單位面積分布上,台灣堪稱蕨類植物的天堂。因此 , 台灣「蕨類園」之成立將會是台灣生態保育的一個重要里程碑 。
歐盟提出設立歐洲技術研究院(European Institute of Technology, EIT)之規劃草案歐盟在最新一期的研發剛要計畫( The Seventh Framework Proposal )中,除了持續以計畫補助方式推動歐盟的研發能力外,最值得注意者乃有關設立「歐洲技術研究院」( European Institute of Technology, EIT )的規劃。最近歐盟執委會已經提出 EIT 設立的法源基礎草案,根據目前規劃, EIT 旨在吸引產學研各界菁英加入,肩負打破產學研界間之藩籬之使命,未來 EIT 除為產學研合作之參考模式外,並將扮演歐洲地區創新、研究與高等教育之菁英領航者( a flagship for excellence ),期使歐盟得更有效率地面對全球化及知識經濟社會所帶來之挑戰。 就組織面而言, EIT 係整合由上而下及由下而上兩種組織結構: EIT 本身具有獨立之法人格,其內部除設置管理局( Governing Board , GB )監督組織運作外,並有約六十位常設之科學及職員人力;另 EIT 將由數個知識及創新社群( Knowledge and Innovation Communities, KICs )組成,各 KICs 代表不同區域之大學、研究組織與企業,各 KISs 與 EIT 以契約規範彼此間的權利義務關係;至於各個 KICs 的組織結構,以及其如何達到契約目的,則交由其自治。目前歐盟執委會規劃在 2013 年以前建構約六個 KICs ,預計在此以前, EIT 需要來自公私部門總計約 24 億歐元( €2.4bn )的經費資助。 由於 EIT 的設立尚須經過歐洲議會及歐盟理事會同意,若執委會目前所提出的設立規劃草案順利取得前述兩機構同意,預計 EIT 將可能從 2008 年起正式運作,並在 2010 年以前完成兩個 KICs 的設立。