歐盟《5G網絡安全風險聯合評估報告》
歐盟執委會(European Commission, EC)於2019年10月9日發布《5G網絡安全風險聯合評估報告》(report on the EU coordinated risk assessment on cybersecurity in Fifth Generation networks),為執委會調查歐盟成員國家5G網路安全風險評鑑。該評估報告將由歐盟網路與資訊安全局(European Union Agency for Network and Information Security, ENISA)後續進一步分析歐盟發展5G行動通訊所帶來的網路安全威脅。
報告中顯示,5G網路的安全挑戰,主要來自(1)5G技術關鍵創新:尤其是5G軟體重要組成部分與5G廣泛的服務和應用等技術創新,以及技術創新所帶來的安全性更新;(2)供應商:若5G通訊營運業者對供應商過度依賴,會導致攻擊者可利用的攻擊路徑的增加。
5G網路開展將帶來許多影響,包含:
- 隨著5G網路軟體發展,攻擊者有更多潛在切入點;與軟體有關的安全風險漏洞管理十分重要,供應商內部不良的軟體開發流程會使攻擊者容易將惡意軟件植入後門,且難以被發現。
- 對單一供應商的依賴也會帶來風險增加,包含供應鏈中斷風險、增加供應商變更成本、供應商受到非歐盟國家有意介入的可能性、以及在產品供應瑕疵的情況下營運業者難以採行應變措施等。
- 隨著5G網絡作為許多關鍵資通訊應用的骨幹,對5G網路可用性、完整性、機密性的威脅將成為國家安全隱憂,也是歐盟未來需要面對的最大的網路安全挑戰。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
劉芷宜
法律研究員 編譯整理
美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。 雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。 另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。
日本公布設立AI安全研究所與著手訂定AI安全性評鑑標準日本於2023年12月1日舉辦G7數位技術委員會(G7デジタル・技術大臣会合),由日本數位廳、總務省、經濟產業省共同會晤G7會員國代表,基於人工智慧(Artificial Intelligence,下稱AI)可能帶給全球創造性、革命性的轉變,同時也可能伴隨侵害著作權與擴散假訊息的風險,尤其是生成式AI可能對經濟、社會影響甚鉅,因此針對如何妥善使用AI技術,G7全體會員國共同訂定《廣島AI進程》(広島AIプロセス)文件,其聲明內容簡述如下: 1.訂定涵蓋《廣島AI進程》之政策框架(Framework) 2.訂定涵蓋AI設計、系統開發、規劃、提供與使用等所有與AI有關人員,(All AI actors, when and as applicable, and appropriate, to cover the design, development, deployment, provision and use of advanced AI systems)適用之《廣島AI進程》國際標準(Principle) 3.針對開發高階AI系統之組織,訂定可適用之國際行為準則(Code of Conduct) 為此,日本內閣府於2024年2月14日公布,於經濟產業省政策執行機關—獨立行政法人資訊處理推動機構(独立行政法人情報処理推進機構,下稱IPA)轄下設立日本AI安全研究所(Japan AI Safety Institute,下稱AISI),作為今後研擬AI安全性評鑑標準(據以特定或減少AI整體風險)與推動方式之專責機構,以實現安心、安全以及可信賴之AI為目標。AISI所職掌的業務範圍如下: 1.進行AI安全性評鑑之相關調查 2.研擬AI相關標準 3.研擬安全性評鑑標準與實施方式 4.研擬與各國AI專責機關進行國際合作,例如:美國AI安全研究所(U.S. Artificial Intelligence Safety Institute, USAISI) 另一方面,IPA將以內部人才招聘作為AISI成員之任用方式,預計組成約數十人規模的團隊。日本以與G7會員國共識為基礎,採專責機關—AISI進行研究與規劃,並推動日後擬定AI相關使用規範與安全性評鑑標準,據以實現AI應用安全之目標。我國對於AI技術之應用領域,未來應如何訂定使用安全規範,將涉及專業性與技術性事項之整體性規劃,日本因應AI課題而採行的做法值得我國未來持續關注。
日本經產省公布產業版資料契約指引和資安手冊日本經濟產業省於2017年起提倡「Connected Industries」,其中一項重點任務為「平台、基礎設施安全」。為達成上述任務,經產省召開「平台資料活用促進會議」(プラントデータ活用促進会議),於2018年4月26日制定公布「資料契約指引產業保安版」(データの利用に関する契約ガイドライン産業保安版)及「物聯網安全對應手冊產業保安版」(IoTセキュリティ対応マニュアル産業保安版),以因應資料經濟時代資訊外洩及網路攻擊等風險。 日本經產省為促進業界資料流通與利用,已陸續於2015年、2017年和2018年制定「推動現有資料交易為目的之契約指引」(既存のデータに関する取引の推進を目的とした契約ガイドライン)、「資料利用權限契約指引」(データ利用権限に関するガイドラインVer.1.0)。本次「資料契約指引產業保安版」則進一步整理資料權利歸屬判斷方式,提供模範條款及說明各條款內容,並羅列作為資料提供者可能具備之優點。此外,隨著物聯網等資訊科技發展,資安風險逐漸受到重視,為提升物聯網產品安全防護,經產省亦以平台管理者為對象,制定「物聯網安全對應手冊產業保安版」,提供適當安全對策及案例。
美國聯邦地方法院就Sanford Wallace散佈間諜軟體案作成判決美國聯邦交易委員會指控 Sanford Wallace 氏及其所經營的 Smartbot.Net 公司,利用 IE 瀏覽器的安全漏洞散佈間諜軟體一案,日前新罕布夏州聯邦地方法院作成判決。 被告散佈之軟體會將受害者的光碟機托盤彈出,同時在螢幕顯示「最後警告」等字樣,附帶一則訊息告訴受害者,「如果您面臨光碟機托盤彈出的狀況,代表間諜軟體已經入侵您的電腦系統,安全已經出現漏洞,敬請立刻下載本公司出品,以資因應!」趁機推銷該公司出品,定價 30 美元之 Spy Wiper 跟 Spy Deleter 軟體,號稱足以因應間諜軟體相關問題。實際上,被告未經用戶同意逕予散佈植入的,性質上即係間諜軟體,不僅會偷偷更改用戶電腦的設定,持續不斷跳出廣告視窗,造成用戶之電腦運作不順或者當機,還可能洩漏電腦裡頭所儲存的資料。 日前新罕布夏州聯邦地方法院就本件作成判決,命被告必須償還不法取得的利益,共計 408 萬餘美元;不得繼續傳輸散佈間諜軟體至用戶之個人電腦;不得未經同意逕行傳輸任何軟體予用戶;不得將用戶之電腦導向彼等並未打算瀏覽或連結的網站或伺服器;不得更動用戶瀏覽器所預設的首頁;不得更動或調整搜尋引擎的功能或成果。