英國政府公布物聯網設備安全設計報告及製造商應遵循之設計準則草案
英國數位文化媒體與體育部於2018年3月8日公布「安全設計:促進IoT用戶網路安全(Secure by Design: Improving the cyber security of consumer Internet of Things)」報告,目的在於讓物聯網設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。此報告經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論,並提出了一份可供製造商遵循之行為準則(Code of Practice)草案。
此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。
其中提出了13項行為準則:
- 不應設定預設密碼(default password);
- 應實施漏洞揭露政策;
- 應持續更新軟體;
- 應確保機密與具有安全敏感性的資訊受到保護;
- 應確保通訊之安全;
- 應最小化設備可能受到網路攻擊的區域;
- 應確保軟體的可信性;
- 應確保設備上之個資受到妥善保障;
- 應確保系統對於停電事故具有可回復性;
- 應監督設備自動傳輸之數據;
- 應使用戶可以簡易的方式刪除個人資訊;
- 應使設備可被容易的安裝與維護;
- 應驗證輸入設備之數據。
此草案將接受公眾意見至2018年4月25日,並規劃於2018年期間進一步檢視是否應立相關法律與規範,以促進英國成為領導國際之數位國家,並減輕消費者之負擔並保障其隱私與安全權益。
本文為「經濟部產業技術司科技專案成果」
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
柯亦儒
組長 編譯整理
DEPARTMENT FOR DIGITAL, CULTURE, MEDIA & SPORT, Changing driving laws to support automated vehicles: discussion paper (2018) , https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/686089/Secure_by_Design_Report_.pdf (last visited Apr. 13, 2018).
DEPARTMENT FOR DIGITAL, CULTURE, MEDIA & SPORT, Secure by Design (Mar. 7, 2018), http://www.ntc.gov.au/about-ntc/news/media-releases/ntc-seeks-feedback-on-changing-driving-laws-to-support-automated-vehicles/ (last visited Apr. 13, 2018).
去年七月日本成立的「漫畫、動畫盜版對策協議會」上個月開始了所謂「MAG PROJECT」,針對中國、美國與歐洲等海外約100個提供盜版的網站,以約5個月的期間,透過電子郵件集中請求刪除盜版內容。 主要打擊對象為提供影音分享的網站、提供漫畫線上閱讀的線上閱讀網站與累積大量盜版資料的儲存空間網站等,在不聽從刪除請求的場合,向當地法院提起訴訟等法律措施也在此次盜版對策的考慮之列。主要保護對象預計包括在日本海外也相當熱門的「one piece(海賊王)」、「名偵探柯南」等總計約580部作品。 「漫畫、動畫盜版對策協議會」包括有東映動畫、吉卜力工作室、角川、講談社、小學館、集英社等等總計15家企業參加,由CODA(內容海外流通促進機構)負責事務局。 提到盜版,以往主要是重製的漫畫書跟DVD,而現在的主流則是網路。盜版在日本海外網路開始流通的時候,約莫是寬頻開始普及的2006年前後。在盜版流通的背景,除大容量的傳輸變成可能之外,還包括有在美國等地出現的日本動畫熱潮,以及Youtube等動畫分享網站的出現等等因素存在。 根據日本動畫協會的調查,2012年日本動畫製作公司的海外銷售金額為144億日圓,相較最近一期高峰值2005年的銷售金額313億日圓,可謂攔腰折半。另據日本經濟產業省25年度的調查,動畫與漫畫盜版造成的損害,光就美國一地來說,推估高達約有兩兆日圓之多。
奈米產業民間導引規範先行-以美國推動奈米保險機制及自願性計畫法制為例 聖淘沙開發公司就″Sentosa″商標對醫材企業提起侵權訴訟新加坡聖淘沙發展局(Sentosa Development Corporation, SDC)(以下簡稱聖淘沙發展局)於今(2018)年1月30日向新加坡高等法院(High court)起訴,主張一家名為Vela的醫療器材企業(包含Vela Operations Singapore, Vela Diagnostics等子公司,以下合稱Vela公司),在其一系列檢測HIV及茲卡病毒的醫材產品中使用″Sentosa″(下稱系爭商標)之行為,侵害了聖淘沙發展局的商標權,要求其停止使用。 聖淘沙發展局隸屬於新加坡貿易與工業部,為專責推動聖淘沙觀光活動的法人機構,系爭商標早在2005年於新加坡申請註冊,其保護範圍以服裝、飾品、書籍、玩具與飲品等涉及觀光之類別為主。截至2015年止,聖淘沙發展局更將保護範圍擴及馬來西亞、印尼及中國大陸。該局表示,系爭商標在過去長達45年的經營下,已成為新加坡著名商標。Vela公司將之作為其醫材品牌的行為,不僅會淡化,甚至減損系爭商標的識別性,造成消費者混淆誤認,將該檢測醫材與聖淘沙發展局產生不當連結,為蓄意藉機炒作。 事實上,Vela公司曾欲將″Sentosa″申請註冊商標,卻於2012年11月被駁回。這次Vela公司則提起商標無效之反訴回應聖淘沙發展局的訴訟,其認為系爭商標係指稱新加坡當地觀光渡假勝地的地理名詞,縱非地理名詞,在馬來語中亦屬稱頌和平寧靜之用語,無法代表特定之服務或產品,根本欠缺商標識別性要件,系爭商標應屬無效。 本案涉及新加坡司法實務有關地理名詞是否具備商標識別性之判斷標準,故其後續發展,值得追蹤觀察。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
歐盟資通安全局(ENISA)提出資通安全驗證標準化建議歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。 受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。 ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎: ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。 然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。