英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。
此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。
此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。
其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。
此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。
本文為「經濟部產業技術司科技專案成果」
美國第七巡迴上訴法院( U.S. Court of Appeals (7thCir) )最近就 Wallace v. IBM, Red Hat, and Novell 一案做出判決,本案爭執重點在於 GPL 授權條款與反托拉斯法之間的關係,美國第七巡迴上訴法院認為 GPL 授權條款並不違反反拖拉斯法,法院也同時明確表示,一般而言自由軟體無須擔心會違反反托拉斯法。 本案上訴人 Daniel Wallace 係程式設計師,其欲販售由 BSD ( Berkeley Software Distribution )所開發出來的競爭軟體給各級學校。 BSD 是 Linux 的衍生版本,而 Linux 作業系統則是屬於自由軟體的一種,想要使用 Linux 的人就必須遵守 GPL 授權條款。依 GPL 授權條款規定,不論 Linux 或 Linux 之衍生著作均不得收取授權費用,上訴人因此指控 IBM 、 Red Hat 、 Novell 與自由軟體協會涉嫌共謀將軟體價格設定在零,涉嫌以掠奪性定價( predatory pricing claim )方式削減作業系統市場之競爭,已違反反托拉斯法。 法院認為,本案並無法主張掠奪性定價,蓋被上訴人 IBM 、 Red Hat 及 Novell 並無法因此而取得獨佔價格,其授權價格之所以為零乃是遵照 GPL 授權條款的結果,且消費者並未因此受到損害。其次,法院也指出,著作權法通常對他人之改作權加以限制,其目的是為了收取授權金,不過著作權法人亦可用以確保自由軟體維持零授權金,因此任何嘗試想要販售自由軟體之衍生著作者,將會違反著作權法,即令改作人不同意接受 GPL 授權條款的約束。
世界經濟論壇發布《贏得數位信任:可信賴的技術決策》世界經濟論壇(World Economic Forum, WEF)於2022年11月15日發布《贏得數位信任:可信賴的技術決策》(Earning Digital Trust: Decision-Making for Trustworthy Technologies),期望透過建立數位信任框架(digital trust framework)以解決技術開發及使用之間對數位信任之挑戰。 由於人工智慧及物聯網之發展,無論個人資料使用安全性還是演算法預測,都可能削弱人民對科技發展之信賴。本報告提出數位信任路線圖(Digital trust roadmap),說明建立數位信任框架所需的步驟,以鼓勵組織超越合規性,指導領導者尋求符合個人與社會期望之全面措施行動,以實現數位信任。路線圖共分為四步驟: 1.承諾及領導(commit and lead):數位信任需要最高領導階層之承諾才能成功,故需將數位信任與組織戰略或核心價值結合,並從關鍵業務領域中(例如產品開發、行銷、風險管理及隱私與網路安全)即納入數位信任概念。 2.規劃及設計(plan and design):透過數位信任差距評估(digital trust gap assessment)以瞭解組織目前之狀態或差距,評估報告應包括目前狀態說明;期望達成目標建議;治理、風險管理與合規性(governance, risk management and compliance, GRC)調查結果;將帶來之益處及可減輕之風險;計畫時程表;團隊人員及可用工具;對組織之影響等。 3.建立及整合(build and integrate):實現數位信任需關注人員、流程及技術等三大面向。首先需確保人員能力、達成該能力所需之資源,以及人員溝通與管理;第二,定義組織數位信任流程,包括制定計劃所需時程、預算及優先實施領域,調整目前現有管理流程,並識別現有資料資產;最後,針對技術使用,可考慮使用AI監控、雲端管理系統以及區塊鏈等,以監測資料之使用正確性及近用權限管理。 4.監控及滾動調整(monitor and sustain):建立數位信任框架後,需持續建構相關績效及風險評估程序,以確保框架之穩定,並根據不斷變化的數位信任期望持續改善,以及定期向董事會報告。
美國新一代公共安全無線寬頻的應用公共安全和國土安全局(PSHSB)局長傑米.巴尼特(Jamie Barnett)於2011年3月16日與美國聯邦通訊傳播委員會(Federal Communication Commission)分別先後宣示將更近一步加強國家寬頻計畫(The National Broadband Plan)中寬頻通訊科技在公共安全層面的應用。其具體落實在成立國家級的緊急反應互動中心(The Emergency Response Interoperability Center, ERIC)。該中心利用700 MHz頻段成立全國性的公眾安全無線網絡。 促進公共安全無線寬頻通訊的使用,是公共安全和國土安全局最主要的任務。透過建立互動式公共安全寬頻無線技術的操作框架,使警察、消防及緊急醫療人員可使用到最先進的數位式寬頻通訊技術。配備可在任何時間、地點即時傳輸資訊的薄型智慧電話,替代傳統上所使用的對講機。 其次為發展下一代的911通報網絡。目前大約70%的911通話來自手機,可是大多數的911電話通報中心,並沒有配備可接收目前主流行動通訊使用者所傳送的簡訊、電子郵件、視訊或照片的設備。新一代的查詢通知系統(Notice of Inquiry,NOI)可取代傳統的電話,使公眾透過先進的通訊科技獲得緊急救助。雖然精確定位裝置並不在整個系統之中,但通過行動通訊業者所提供的數據,仍可定位需救助者的方位。 美國將寬頻通訊科技落實在公共安全層面的應用,將有助於其提升整體緊急救護的效率。