日本經濟產業省(下稱經產省)於2020年6月12日發布其國內產業資通安全現況與將來對策(昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性)報告,指出近期針對供應鏈資通安全弱點企業所展開的攻擊,有顯著增長趨勢。為此,該報告建議共組供應鏈的企業間,應密切共享資訊;於關鍵技術之相關資訊有外洩之虞時,應向經產省提出報告;若會對多數利害關係人產生影響,並應公開該報告。遵循該報告之建議要旨,同年11月1日在各產業主要的工商團體引領下,設立了「供應鏈資通安全聯盟(原文為サプライチェーン・サイバーセキュリティ・コンソーシアム,簡稱SC3)」,以獨立行政法人資訊處理推進機構(独立行政法人情報処理推進機構,IPA)為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略,而經產省則以觀察員(オブザーバー)的身分加入,除支援產業界合作,亦藉此強化政府與業界就供應鏈資通安全議題之對話。
只要贊同上述經產省政策方向與聯盟方針,任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題,經產省與IPA已有建構「資通安全協助隊(サイバーセキュリティお助け隊)」服務制度(以下稱協助隊服務),邀集具相關專長之企業,在其他企業遭遇供應鏈資安攻擊時,協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案,提供IPA來建構上述基準。依該制度取得認證的企業,將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度,讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。
本文為「經濟部產業技術司科技專案成果」
美國參議院於2015年10月27號通過網路安全資訊共享法(Cybersecurity Information Sharing Act; CISA)。本案以74票對21票通過,今年稍早眾議院通過類似法案,預計接下來幾周送眾議院表決。歐巴馬政府及兩院議員已就資訊共享法案研議多年,目前可望兩院就立法版本達成一致而立法成功。 主導本案的參議院情報委員會(Intelligence Committee)主席Richard Burr於法案通過後發表聲明表示,「這個作為里程碑的法案最終會更周全地保護美國人的個資不受外國駭客侵害。美國商業與政府機構遭受以日計的網路攻擊。我們不能坐以待斃」。副主席Sen. Feinstein於肯定法案對網路安全的助益之外,認為「我們在杜絕隱私憂慮的方面上盡了所有努力」。 CISA授權私人機構於遭受網路攻擊,或攻擊之徵兆(threat indicators)時,基於網路安全的目的,立即將網路威脅的資訊分享給聯邦政府,並且取得洩漏客戶個資的責任豁免權。基於同樣的目的,私人機構也被授權得以監視其網路系統,甚至是其客戶或第三人的網路。但僅以防禦性措施為限,並且不得採取可能嚴重危害他人網路之行動。相對於此,聯邦政府所取得該等私人機構自發性提供的網路威脅資訊,係以具體且透明的條款規制。此外,國土安全部(Department of Homeland Security)於符合隱私義務方針的方式下,管理電子網路資訊得以共享給其他合適的聯邦機構。檢察總長及國土安全部門秘書並建立聯邦政府接收、共享、保留及使用該等網路資訊的要件,以保護隱私。 相對於此,許多科技公司對此持反對態度,例如蘋果與微軟。隱私支持者更是於法案通過前後呼籲抵制,稱其為監視法。主要的論點圍繞在企業洩漏個資訊的寬鬆免責條款,這將會促使隱私憂慮。另一方面,法案反對者也不信任聯邦政府機構將會落實隱私保護,FBI、國家安全局(National Security Agency, NSA)及國家安全部則樂於輕易地取得、共享敏感的個資而不刪除之。 這些憂慮或許可以由法案投票前,網路法及網路安全學者共同發出的公開信窺知。「整體來說,(CISA)對有缺陷的網路安全中非常根本但真切的問題一無所助,毋寧僅是為濫權製造成熟的條件」。信中提到,該法案使聯邦機構得近用迄今為止公眾的所有資訊,並且對公司授權的範圍無明確界線,使公司對判斷錯誤的可能性毫無畏懼。這對於網路安全沒有幫助,方向應該是引導各機構提高自身的資訊安全及良好管理。
歐盟部長理事會通過第16輪對俄羅斯制裁規定,持續打擊規避管制行為歐盟部長理事會(The Council of the European Union)於2025年2月24日通過第16輪對俄羅斯的制裁規定,以因應俄羅斯持續滿三年非法侵略烏克蘭的行為。第16輪制裁針對俄羅斯經濟中具有系統重要性的部門,例如能源、貿易、運輸、基礎建設和金融服務加強管制,並且加強打擊規避制裁的行為。 第16輪制裁中有關出口管制的黑名單交易對象、物流與金流的措施概述如下: 1.實體名單更新與反規避 (1)制裁名單新增管制理由,包括制裁支持不安全油輪(unsafe oil tankers)營運者。 (2)將74艘貢獻俄羅斯能源收入的船隻,列入制裁名單。 (3)對53家支持俄羅斯軍工複合體(military-industrial complex)或從事規避制裁的新公司(其中包括俄羅斯以外國家的34家公司),實施針對性的出口限制。 (4)實體名單新增83個實體(包括48名自然人及35個法人實體),例如支持俄羅斯軍工複合體、積極從事規避制裁、俄羅斯加密資產交易所,以及海事領域的公司。 2.軍民兩用項目出口管制 (1)違反化學武器公約,用於生產氯化苦(chloropicrin)和其他用作化學武器的防暴劑(riot control agents)的兩用化學前驅物(precursor)。 (2)用於製造武器的電腦數控(Computer Numerical Control,即CNC)工具機相關軟體,以及俄羅斯軍隊在戰場上駕駛無人機時使用的視訊遊戲控制器。 (3)鉻礦石及化合物。 3.金融業措施 (1)將13家提供專門金融訊息服務的金融機構列入實體名單。 (2)對於使用俄羅斯中央銀行金融訊息系統(Financial Messaging System of the Central Bank of Russia)規避歐盟制裁者,在交易禁令(transaction ban)中增加3家銀行。
為保護社交網站青少年安全,MySpace與美國執法當局共同簽署一份社交網站重要安全原則之聯合聲明為保護青少年使用網路安全,避免性侵害犯罪者透過社交網站誘拐進而性侵未成年人,亦為提升警方追捕及起訴性侵害犯罪者的效能,美國49州及哥倫比亞特區執法當局與美國最大的社交網站 MySpace,在歷經了2年時間的討論後,於今年1月對外共同宣佈一項「社交網站重要安全原則之聯合聲明(Joint Statement on Key Principles of Social Networking Sites Safety)」,並計劃將此一原則陸續推廣於其他類似社交網站。 於該聯合聲明中,MySpace首先同意組織一個網路安全技術的專門小組,承諾研發線上身份認證技術和其他線上安全工具,以創造一個安全的線上社交環境,而該網路安全小組成員包含網路公司代表、身份認證專家、非營利組織成員,以及其他科技公司代表等。MySpace並允諾設計並落實相關技術與功能,以防止14歲以下的兒童使用MySpace網站,及避免青少年從MySpace網站上接收到不適當的內容、或有機會與成人不適當的接觸。另MySpace社交網站亦將透過網站經驗分享、提供父母免費的監控軟體、兒童郵件註冊等方式,教育父母、教育家和兒童安全和負責的社交網站使用態度。MySpace社交網站的營運者更同意與執法人員共同努力,提升調查和追訴網路犯罪行為的效能,為此MySpace將建立一個24小時的免費諮詢電話,以回應執法人員辦案上的需求。
美國國家標準技術局公布聯邦各部會技術研發成果轉化計畫美國國家標準技術局(the National Institute of Standards and Technology,NIST) 建立網路專頁,提出聯邦各部會所研發技術的移轉計畫報告,揭示各部會具體執行白宮在去(2011)年10月28日所發布的總統備忘錄(Presidential Memorandum),要求各聯邦實驗室進行技術研發並提高移轉給私部門之比例,以使政府投資之研發成果可以供大眾市場所用,以進一步加速經濟成長與提昇美國產業競爭力。 觀察白宮所發布的政策文件指出,聯邦政府將創新技術研發,視為刺激經濟的一個重要工具,而有效的技術移轉又是成功的技術研發的重要驅動力,故歐巴馬政府啟動美國計畫(Startup America Initiative)將政府研發技術的移轉作為重要支柱之一,並預計於5年內達成具體成績。 於NIST網頁公布之13個聯邦部會所提出之執行計畫,包括各機關自訂目標與評量標準,以評估刺激技術移轉計畫之成效。而作為美國產業技術研發與標準制訂之主要推動機構,NIST的技術移轉計畫將調整技術移轉的定義與內涵,俾更為精確地反應和評估廣泛的技術研發活動。未來NIST將擴張各項衡量指標,如標準參考物質和數據(Standard Reference Materials and Data)、專利授權、共同研究等的追蹤範圍,此外包括軟體下載、研究人員、新創公司等亦納入新的衡量指標範圍之內。同時在完善技術移轉活動追蹤機制方面,NIST將建立內部人員參與私部門統一標準制訂委員會之資料庫。 包括NIST在內以及美國商業部與其他各主要進行產業技術研發的聯邦部會之技術移轉計畫,揭示了技術移轉在美國技術研發活動週期中的重要性,具體執行、評估之方式,可自NIST專頁進行下載、分析並作為政策規劃之參考。