美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
日本文部科學省於2022年3月發布「教育資訊安全政策指引」(教育情報セキュリティポリシーに関するガイドライン)修訂版本,該指引於2017年10月訂定,主要希望能作為各教育委員會或學校作成或修正資訊安全政策時的參考,本次修訂則是希望能具體、明確化之前的指引內容。本次修訂主要內容如下。 (1)增加校務用裝置安全措施的詳細說明: 充實「以風險為基礎的認證」(リスクベース認証)、「異常活動檢測」(ふるまい検知)、「惡意軟體之措施」(マルウェア対策)、「加密」(暗号化)、「單一登入的有效性」(SSOの有効性)等校務用裝置安全措施內容敘述。 (2)明確敘述如何實施網路隔離與控制存取權的相關措施: 對於校務用裝置實施網路隔離措施,並將網路分成校務系統或學習系統等不同系統,若運用精簡型電腦技術(シンクライアント技術)則可於同一裝置執行網路隔離。另外,針對校務用裝置攜入、攜出管理執行紀錄,並依實務運作調整控制存取權措施,例如安全侵害影響輕微者則可放寬限制以減輕管理者負擔。
何謂德國「資訊科技安全法(IT-Sicherheitsgesetz)?德國聯邦議會於2015年通過資訊科技安全法(IT-Sicherheitsgesetz),主管機關為聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI),隸屬於德國聯邦內政部(Bundesministerium des Innern)。目的是為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施,讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範,同時藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。 該法案主題包括,在關鍵基礎設施上改進企業資訊科技安全、保護公民的網路安全、確保德國聯邦資訊科技、加強聯邦資訊技術安全局的能力與資源、擴展聯邦刑事網路犯罪的調查權力。 該法主要係針對關鍵基礎設施營運者(Kritische Infrastrukturbetreiber) 進行安全要求,例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。
日本學術會議建議因應疫情強化ICT建設和推動數位轉型日本學術會議於2020年9月15日提出「邁向感染症對策與社會改革之ICT基礎建設強化和數位轉型推動」(感染症対策と社会変革に向けたICT基盤強化とデジタル変革の推進)法制建議。新冠肺炎疫情突顯出日本ICT基礎建設不足和急需數位轉型之問題,日本學術會議從「醫療系統之數位轉型」、「社會生活之數位轉型」和「資安與隱私保護」等觀點提出建議,希望能在確保資安及隱私的前提下,達到防止感染擴大與避免醫療崩壞,以及減少疫情對社會經濟影響等目標。針對「醫療系統之數位轉型」,未來應建立預防和控制感染症之綜合平台,統一地方政府感染資訊之公開內容、項目,檢討遠距醫療和數位治療法規,進行相關法制環境和基礎設施之整備;針對「社會生活之數位轉型」,日後應積極推動遠距醫療、遠距工作和遠距教育,並進行所需基礎建設、設備和人才培育之整備;針對「資安與隱私保護」,除檢討建立利用感染者個人資料,以及可知悉個人資料利用狀況之制度,亦應擴大及強化信用服務(trust service)和感染資訊共享系統等措施。
歐盟公布電子通訊網路及服務法規架構檢視公共諮詢報告歐盟在2015年9月11日至2015年12月7日期間進行電子通訊網路及服務法規架構檢視公共諮詢,檢討目前電子通訊法規發展方向。2016年3月3日歐盟提出摘要報告,諮詢主題可分為五項,分別為:網路接取規範、頻譜管理與無線連結、電信服務產業管制、普及服務規範、以及機構設立與監理等。在此次公共諮詢當中,可歸納出幾項發展趨勢,包括: 一、基於消費者或市場需求,網路已成為促進數位社會、經濟發展之主要方式。 二、網路連線品質待改善。多數認為應支持基礎建設來因應未來廣泛的需求。 三、多數認為目前法規架構無法促進內部市場發展,未來應朝向電信市場自由化方向進行,特別是基於使用者利益以及市場競爭考量。 四、頻譜管理部分,無線寬頻網路固然重要,但未來仍應朝向促進新行動通訊技術發展,如5G技術等。 五、未來對於頻譜的規劃與應用應更具彈性,且進行技術領域調和。 六、許多會員國因應科技技術的進步更新電信法規,透過促進下世代基礎建設投資以及其他方式,未來希望能使電信法規更具有彈性與簡化。 七、未來將著重考量長期投資研發帶來的效益。 八、消費者希望未來能重視服務競爭,而非僅強調基礎建設。且針對基礎建設本身,亦應重視基礎建設投資的成本分擔。 九、重新思考普及服務,亦即給予會員國更多的彈性來決定如何進行資金補助與履行服務。 十、消費者組織立場認為需要進行產業管制,以及設定使用者保護規範,而基於電信事業立場,特別是在服務部分,則需要整合性規範。部分也認為電信法規亦適用於相同性質之服務,例如OTT。 十一、多數認為,歐盟層級的管制機構應該重新檢視,以協助未來法規的修正。