歐盟資通安全局公布《提升歐盟軟體安全性》研究報告
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。
本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。
報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括:
- 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。
- 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。
- 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。
- 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。
- 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
何穎欣
研究助理 編譯整理
許祐寧,〈數位歐洲計畫(Digital Europe Programme)〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8268(最後瀏覽日:2020/08/04)。
英國內政部(Home Office)於2023年11月30日與全球13家線上平臺與服務提供者(包括Amazon、eBay、Facebook、Google、Instagram、LinkedIn、Match Group、Microsoft、Snapchat、TikTok、X(Twitter)、techUK及YouTube等)簽署自願性《防範線上詐欺憲章》(Online Fraud Charter),促進落實防詐措施。 此協議針對線上平臺與服務提供者之防詐重點要求如下: 1.設置監測及預防體系:線上平臺與服務提供者應建立有效流程,以辨別、標註和移除不當的內容和帳號;記錄違規使用者,以防其再次啟用或註冊新帳號。此外,線上平臺與服務提供者應採行符合英國國家網路安全中心(National Cyber Security Centre)密碼保護指引的身分驗證機制,並鼓勵使用者採用兩階段驗證,幫助使用者辨別真偽。而在電子商務與社群媒體方面,線上平臺與服務提供者應設置賣家驗證措施以防範不肖業者,並為使用者提供高風險交易安全指南與安全支付服務機制及資訊,保障使用者之消費權益。 2.建立檢舉途徑:線上平臺與服務提供者應提供簡捷的檢舉途徑,方便民眾檢舉詐欺行為,並與執法部門合作,以快速通報平臺或服務所發生之可疑詐欺活動。當未知帳號透過私訊聯繫使用者時,線上平臺與服務提供者可提供適當的警告,以提醒使用者可能的詐欺風險。 3.與公部門合作進行防詐宣導:所有線上平臺與服務提供者必須參與英國線上廣告計畫任務小組(Online Advertising Programme’s Taskforce),完備防制詐欺網。並要求有付費服務之線上平臺與服務提供者於其平臺內設置廣告驗證程序,以便過濾並防止詐欺資訊傳播,確保網路廣告真實性。此外,線上平臺與服務提供者須與英國政府、英國金融行為監督總署(Financial Conduct Authority)及英國資訊專員辦公室(Information Commissioner's Office)等公部門展開跨部門協調合作機制,加強防詐情報共享與配合執法取締詐欺。最後,線上平臺與服務提供者必須提供最新詐欺風險資訊以幫助民眾辨別詐欺手法。 該憲章簽署之線上平臺與服務提供者須在六個月內實施上述措施,但因係自願性質,因此其有效性仍有待觀察。
台灣自由軟體今年產值逾12億MIC資料顯示,台灣自由軟體產業軟硬體的相關產值從2003年的135億,至今年可望成長至新台幣290億。如果單看自由軟體的產值,今年可望超過新台幣12億,較去年成長26%。 資策會表示,在政策推動下,自由軟體的需求面有逐漸增加的趨勢。就市場整體來看,我國自由軟體產業的產值,今年上半年達到新台幣5億9000萬,全年將超過12億,達到12億3700萬,而從2002年至2006年,台灣自由軟體產業軟體產值的年複合成長率高達55%。 預期到2007年,自由軟體產值可望達新台幣100億元,投入軟體開發廠商將達50%,而政府單位的個人電腦使用比例可望達到10%。
韓國通過網路電視法案由於新興通訊技術的應用與網路頻寬的快速成長,透過網路收看電視已不再是遙不可及的科技願景。網路電視(Internet Protocol Television;IPTV)在許多國家都已經是逐漸應用成熟的服務,但是相對而言,法規的管制架構卻多仍處於追趕摸索的階段。 網路電視之相關法制爭議眾多,曾被提出討論者如攸關管制基準之網路電視定位,是否視同傳統廣播電視加以管制?相關之義務是否比照要求(如對於無線電視之必載義務)?網路電視市場之界定?市場力量之監督與公平競爭環境之維護等,皆為重要的關注焦點。 韓國國會傳播特別委員會於上月(11月)通過一項網路電視法案(IPTV Bill),對於重要之網路電視相關規範加以界定。此一國會傳播特別委員會所通過之網路電視服務法草案,對未來網路電視可能的市場主導者(包含廣播電視公司、網際網路服務提供者、電信公司等)之行為,事先加以規範。例如規定KT等重要電信公司提供網路電視服務並不需要另行成立附屬公司;另一方面,廣播電視公司未來將可提供全國性的網路電視服務,惟其市場佔有率將限於整體市場的三分之一以下。 未來的網路電視型態可能包含被動收視或主動要求播送,其他附加的服務更包含透過網路電視進行購物、遊戲、金融服務等,潛藏之商機已引起各界注意,也值得國內盡早思考整體管制架構,促進產業成熟發展。
Ofcom宣佈將為身障者提供更為便利的電話服務英國電信管制機關Ofcom宣布,所有固網與行動電話業者將必須提供更為先進便利的「文字中繼服務(Text Relay Service)給所有聽力或語言障礙的民眾使用。文字中繼服務使聽力或語言障礙民眾能透過電話或文字電話(TextPhone)等設備而能與他人溝通,這項決定意味著所有的手機用戶將有機會獲得一個「下一代(next generation)」文字中繼服務,各種設備將能夠輔助身障者以更快、更流暢的交談速度與他人溝通。 Ofcom在經過文字中繼服務的審查研究後發現,目前的中繼系統以助理作為通話雙方的中介,進行語音與文字的轉換,反之亦然。然而研究發現,通話者對於對話速度的即時性與情感表達的完整性有提昇的需求,現在的系統通話的速度很慢,因為呼叫者只能輪流說話或輸入文字,無法即時快速如正常人一般的溝通。 因此Ofcom決定下一代文字中繼服務,在未來的18個月內將提供顯著的改進,包括: 語音雙向並行傳輸,透過網際網路的連接,允許通訊雙方可隨時插嘴,而無須等到一方的對話結束傳輸。如此將使交談雙方對話流動更快,有更自然的結果,新的服務也將支援更多種類的設備。為了達成這些改進,Ofcom將與產業、身障團體代表進行合作,探討當前和未來中繼服務所需語音辨識技術的精確度和速度的發展。Ofcom也將要求電信業者在未來提供視訊中繼服務,以確保身障者可以使用可靠的、先進的各種中繼服務,以幫助他們更容易溝通。