英國NCSC針對使用高風險供應商之電信網路提出風險管理建議

  英國於2020年1月31日正式脫歐,同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定(Free Trade Agreement, FTA)。然而,美國認定中國大陸華為的5G設備存在資安風險,可能被用於間諜活動進而威脅國家安全,故主張美英貿易合作與情報共享的前提,必須建立在英國排除使用華為5G網路基礎建設之上,對此英國嘗試透過政策研擬,在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心(National Cyber Security Centre, NCSC)於2020年1月28日,即針對使用「高風險供應商(High risk vendors簡稱HRV)」之電信網路,提出風險管理建議,說明如何因應HRV帶來的網路安全風險及挑戰(須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor,必須透過關鍵與否及風險高低兩個變動因素加以細部區分)。目前英國5G及光纖到戶(Fiber To The Home, FTTH)計畫推動處於關鍵階段,NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議,將有助於保護營運商免於外部攻擊,並降低英國電信網路的國家安全風險。

  NCSC在報告中,針對何謂高風險供應商,及如何管理這些供應商帶來的特定安全風險,提出詳盡判斷標準包括:供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點:包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管,進而與英國法律相抵觸甚至進行外部指導等。

  又為減少由HRV引起的網路安全風險,NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務,並將高風險廠商供應上限設定為35%,有效進行網路安全風險管理,平衡安全性風險和市場供應多樣化彈性需求。另外,其他具備敏感性的網路營運模式,例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統(BNG / BRAS)等,必須根據具體情況,對HRV進行限制;且不得在與政府營運或重要國家基礎設施,及任何與安全系統直接相關的敏感網路中使用HRV設備。目前,中國大陸華為是英國NCSC唯一認定的HRV廠商,華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制;華為亦需遵守NCSC要求,訂定風險緩解策略,確保產品及服務不致威脅英國網路即國家安全。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 英國NCSC針對使用高風險供應商之電信網路提出風險管理建議, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8446&no=65&tp=5 (最後瀏覽日:2026/07/18)
引註此篇文章
你可能還會想看
紐西蘭將設置食品安全科學研究中心並提供食安相關科研補助

  紐西蘭科學與創新大臣Steven Joyce與食品安全大臣Nikki Kaye,於今年(2014)4月16日宣佈該國將設置食品安全科學研究中心以因應食品安全危機。該中心預計於本年底前建成並投入使用,該國政府和產業界每年將聯合資助至少紐西蘭幣500萬元。該中心是為了促進、協調和提供食品安全科學與研究,並將提供食安相關科研補助,主要聚焦於涉及公共利益的食品安全科學和研究活動,涵蓋食品的整個價值鏈。 包括: 1.生物、化學、物理和放射性的食品安全風險; 2.與食品添加物質相關的風險; 3.食品安全的風險評估、管理及與公眾的良好溝通; 4.與國際科學界和現有的國際研究平臺展開合作。   紐西蘭食品安全科學研究中心起因自去年紐西蘭發生濃縮乳清蛋白受汙染事件,嚴重影響該國畜牧業外銷,為防範類似事件再發生,去年底政府研究報告指出29項改善目標,其中即包括設立該中心。   該中心成立後首先將徵求合作對象。紐西蘭商業、創新與就業部,初級產業部兩部會於2014年4月16日聯合發布合作意向徵求通知,有意承辦或者加盟中心的研究機構可以參加競標。商業、創新與就業部之科學委員會將負責遴選合作對象,得參加5月末食品安全科學研究中心合作研討會。同時,將徵求食安相關科研補助專案。兩部會在7月初,將向前述入選者發佈提案募集通知,特別鼓勵聯合提出專案申報書,後續將由獨立專家組成的委員會對其進行評估,最後由科學委員會做出補助決定。

全方位提升生技製藥能力,德國提出生技製藥領域的價值創造補助新政策

  在製藥領域運用生物技術的方法來研發新藥與新醫療診斷方法,已有越來越重要的趨勢,且將成為未來醫療照顧的主流,因此各國政府均積極透過各種政策工具,企圖搶食此塊經濟利益的大餅,不過直到目前為止,推動生技製藥最為成功的國家,仍集中在少數幾個研發大國。一直以來,德國在製藥領域也是居有舉足輕重的科技領先地位,不過在涉及生技製藥這一塊,德國目前的成就有限,已成功上市而來源於德國的生技藥品,並不多見(2005年德國核准通過的140項新有效成分中,僅有6項由德國公司所研發)。另一方面,德國擁有全歐洲最多的生技公司數目,這些生技公司每年從事相當多的研發活動,但其與製藥公司卻甚少主動合作。為加強生技產業與製藥產業的連結與合作,德國聯邦教育與研究部(Bundesministerium für Bildung und Forschung, BMBF)新近提出了新補助政策-「生技製藥之策略性競爭」(Strategiewettbewerb BioPharma),企圖為德國重新贏回世界藥局(Apotheke der Welt)的美名。   這個新的策略規劃所訴求的對象,是由主要來自於學術界的生技公司與傳統的製藥產業界所成立的合作團隊,而以企業型態經營者(Unternehmerisch geführte Konsortien aus Wissenschaft und Wirtschaft )。BMBF希望透過鼓勵建立這樣的合作關係,讓這些合作參與者提出各種有助於以更有效率的方法研發醫藥品的新策略性概念或創意(Ideen für neuartige strategische Konzepte vorzulegen, die die Entwicklung von Medikamenten effizienter machen),以填補生技製藥產業價值創造鏈中的漏洞。所謂的價值創造鏈,指從實驗室的研究、醫院的投入、到醫藥品的製造、甚至是最後端的藥局等各生技製藥研發乃至製造使用所不可缺的各重要環節。   由德國的這項新補助政策可以看出,在生技製藥領域,德國政府的補助方向已不再侷限於傳統的技術能力的提升,反而是如何串連整個產業鏈以發揮價值創造的最大效益,為此一補助新政策的最大特色。由於補助的目的是在實現價值創造,因此補助去進行價值開發與規劃的醫藥技術項目,也沒有特別限定,反而是希望可以涵蓋所有可能的醫藥技術領域,因此包括抗癌藥物與治療神經系統方面疾病的藥物研發、開發新的疫苗或疾病診斷用的生物標記、以及如何建構臨床研究的新基礎架構(der Aufbau neuartiger Infrastrukturen für klinische Studien)等,均屬BMBF徵求創意的範圍。   經BMBF邀集由國際專家組成的評選委員會評選通過的創意,將可在未來五年獲得BMBF的經費持續協助。BMBF預計選出五個產學合作聯盟,投入總計一億歐元的經費支持,預計在今(2008)年秋天,將可順利選出五個補助的對象。BMBM的此項新補助政策受到生技製藥產業界的廣大迴響,成功引導德國生技產業與製藥產業構思各種可能的合作模式。BMBF表示,其在選擇適格的合作聯盟作為補助對象時,最重要的考量標準為合作夥伴的個別經歷介紹、其有無執行能力、是否具備執行所需的基礎環境條件、所提出的合作概念是否足以使其具備國際競爭優勢,以及所規劃的醫療技術發展是否具有創新性、原創性與市場潛力。

歐盟將立替代能源新法

  日前,歐盟執委會於2008年1月23日提交了一份關於整合性發展境內替代能源之新法制架構指令建議案,並欲藉該建議案來進一步促進生質能、太陽能與風能等相關新興能源技術之開發。該建議案還提到,歐盟所屬會員國原則上須依據於2005年當時替代能源之貢獻比例為基礎,再向上調增5.5%後來作為該會員國之替代能源預定貢獻目標。不過,考量各會員國之國情並不相同,故該建議案要求歐盟對於各會員國替代能源預定貢獻目標之制定,應採「差別化」之方式,使其可先自由調整與決定究欲採取何種比重與模式來發展各類替代能源,最後,再將所決定之能源發展策略大綱置於國家行動方案書內(National action plans, 簡稱NAP),並於2010年3月31日前提交執委會進行審核。此外,執委會也設定了一系列短期性目標,以確保能漸次穩定地朝2020年之目標前進。而有關開發生質能及永續性方面,鑑於生質燃料之發展仍具相當之爭議,故於飽受各界沉重之壓力下(如:非政府民間組織以及科學聯盟團體),未來布魯塞爾方面勢要提出一更加周嚴之永續性基準,以確保在該建議案所制定之生質燃油目標下,不會進一步導致生態系統失衡、森林濫伐、人口遷徙、糧食價格上漲以及釋放更大量CO2等問題產生。

美國聯邦貿易委員會插手企業資訊安全引起爭議

  美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴,指控LabMD怠於以合理的保護措施保障消費者的資訊(包括醫療資訊)安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查,並要求LabMD需強化其資安防護機制(In the Matter of LabMD, Inc., a corporation, Docket No. 9357)。   根據FTC網站揭示的資訊,LabMD因為使用了點對點(Peer to Peer)資料分享軟體,讓客戶的資料暴露於資訊安全風險中;有將近10,000名客戶的醫療及其他敏感性資料因此被外洩,至少500名消費者被身份盜用。   不過,LabMD反指控FTC,認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題,FTC的調查屬濫權,無理由擴張了聯邦貿易委員會法第5條的授權。   本案的癥結聚焦於,FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋,涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到(正當商業行為)「法規與標準制訂者」的角色,逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司(如google)提出類似的控訴,許多公司都在關注本案後續的發展。

TOP