世界經濟論壇發布《2022年全球網路安全展望》
世界經濟論壇(World Economic Forum, WEF)於2022年1月18日發布《2022年全球網路安全展望》(Global Cybersecurity Outlook 2022),以面對因COVID-19大流行所致之遠距辦公、遠距學習、遠距醫療等新形態數位生活模式快速發展,以及日漸頻繁之具破壞性網路攻擊事件。為考量國家應優先考慮擴展數位消費工具(digital consumer tools)、培育數位人才及數位創新,本報告說明今年度網路安全發展趨勢及未來所要面對之挑戰包括如下:
- COVID-19使得工作習慣轉變,加快數位化步伐:約有87%企業高階管理層計畫透過加強參與及管理第三方的彈性政策、流程與標準,提高其組織的網路韌性(cyber resilience)。
- 企業資安長(chief information security officers, CISO)及執行長(chief executive officers, CEO)之認知差異主要有三點:(1)92%的CEO認為應將網路韌性整合到企業風險管理戰略中,惟僅55%CISO同意此一作法;(2)由於領導層對網路韌性認知差異,導致安全優先等級評估與政策制定可能產生落差;(3)缺乏網路安全人才以面對網路安全事件。
- 企業最擔心之三種網路攻擊方式為:勒索軟體(Ransomware attacks)、社交工程(social-engineering attacks),以及惡意內部活動。惡意內部活動係指企業組織之現任或前任員工、承包商或業務合作夥伴,以對組織產生負面影響方式濫用其關鍵資產。
- 憂心中小企業數位化不足:本研究中有88%之受訪者表示,擔心合作之中小企業之數位化程度不足,導致供應鏈或生態系統中使其網路韌性受阻。
- 網路領導者認為建立明確有效的法規範,將有助於鼓勵資訊共享與促進合作。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
許嘉芳
法律研究員 編譯整理
WORLD ECONOMIC FORUM [WEF], Global Cybersecurity Outlook 2022 (Jan. 18, 2022), https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2022.pdf (last visited Feb. 8, 2022).
Global Cybersecurity Outlook 2022, World Economic Forum (Jan. 18, 2022), https://www.weforum.org/reports/global-cybersecurity-outlook-2022 (last visited Feb. 8, 2022).
鄭岱宜,〈日本內閣閣議決定2021年最新3年期網路安全戰略〉,2021年12月,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8750 (最後瀏覽日:2022/02/08)。
科法觀點
FCC經過討論與投票,正式發佈命令將電力線寬頻上網服務分類為跨州資訊服務(interstate information service),而非電信服務,其他寬頻上網科技包括DSL、有線電纜線數據機寬頻上網亦被FCC分類為資訊服務。 過去幾年來,FCC一直大力支持電力線寬頻上網服務,期望電力線寬頻上網服務可以進入寬頻服務市場,與DSL和有線電視纜線數據機寬頻上網服務競爭,以增加寬頻服務市場之競爭,提高美國之寬頻普及率。而就此次所發佈之命令,FCC認為,將電力線寬頻上網分類為資訊服務將可使電力線寬頻上網服務受到較低的管制,有助於達成隨時隨地提供所有美國民眾寬頻接取之目標。其次,FCC在數位匯流時代之管制乃是期望能對於各種不同技術之寬頻接取平台給予一致的管制措施,並且對於相同之服務採取相同的管制方式。基於上述原因,FCC此次將電力線寬頻上網分類為資訊服務並不讓人感到意外。 FCC主席Kevin J. Martin進一步在其聲明中表示,雖然目前電力線寬頻上網人口並不多,然在2005年其成長率卻將近200%,顯見電力線寬頻上網服務之市場潛力不容忽視,將可幫助達成美國總統定下於2007年底前隨時隨地提供全國民眾寬頻網路接取之目標。
歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。 個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。 此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。
歐盟發布「如何掌握歐洲的數位基礎建設需求?」白皮書暨公開意見諮,尋求成員國間更一致的頻率與海纜監理架構「安全、韌性、高效、永續的數位基礎設施」,是歐盟「數位十年計畫」(Digital Decade Policy Programme 2030)所擘劃的政策目標之一。執委會於2024年2月21日發布「如何掌握歐洲的數位基礎設施需求?」(How to master Europe's digital infrastructure needs ?)白皮書,詳細盤點歐盟數位基礎設施的發展現狀及所面臨的挑戰,提出可能的政策方案並公開諮詢各界意見。 其中有關頻率管理的部分,執委會認為成員國間各自為政的頻率釋出與管理政策拖累了整體歐盟的5G布建進程,目前5G的涵蓋率與普及率仍不如預期,成員國間的數位發展程度也參差不齊,法規環境差異對跨境提供服務所造成的障礙亦導致數位單一市場難以成形。為避免相同困境在6G重演及因應發展衛星通訊服務帶來的跨境頻率管理議題,歐盟將更進一步同調各成員國的頻率管理政策與規範環境,提高歐盟對頻率政策的掌控,確保歐盟通訊網路的安全性、獨立性和完整性。 海纜的安全性亦受到關注,歐盟既有電子通訊網路和服務的監管架構並未就雲端服務業者規範相關的義務,但隨著大型雲端服務業者持續投入海纜建設,歐盟已經有超過60% 的國際流量透過非公眾網路業者建設的海纜傳輸,監理上的漏洞已經形成歐盟通訊網路的安全隱患。 執委會將與各界展開廣泛的討論與磋商,研議能確保安全與韌性之數位基礎設施的政策工具及監理框架。在頻率管理方面,希望能提高歐盟的一致性與協調性,為地面通訊、衛星通訊及其他新興應用的頻率使用提供更統一甚至單一的授權流程及選擇條件,以促進數位單一市場的形成;在海纜方面亦規劃建立歐盟層級的聯合治理體系,將針對海纜的風險、弱點及依賴性做全面性的評估,亦將資助既有海纜的升級與新海纜的設立,同時確保供應鏈的安全性及降低對高風險第三國的依賴。