世界經濟論壇發布《2022年全球網路安全展望》

  世界經濟論壇(World Economic Forum, WEF)於2022年1月18日發布《2022年全球網路安全展望》(Global Cybersecurity Outlook 2022),以面對因COVID-19大流行所致之遠距辦公、遠距學習、遠距醫療等新形態數位生活模式快速發展,以及日漸頻繁之具破壞性網路攻擊事件。為考量國家應優先考慮擴展數位消費工具(digital consumer tools)、培育數位人才及數位創新,本報告說明今年度網路安全發展趨勢及未來所要面對之挑戰包括如下:

  1. COVID-19使得工作習慣轉變,加快數位化步伐:約有87%企業高階管理層計畫透過加強參與及管理第三方的彈性政策、流程與標準,提高其組織的網路韌性(cyber resilience)。
  2. 企業資安長(chief information security officers, CISO)及執行長(chief executive officers, CEO)之認知差異主要有三點:(1)92%的CEO認為應將網路韌性整合到企業風險管理戰略中,惟僅55%CISO同意此一作法;(2)由於領導層對網路韌性認知差異,導致安全優先等級評估與政策制定可能產生落差;(3)缺乏網路安全人才以面對網路安全事件。
  3. 企業最擔心之三種網路攻擊方式為:勒索軟體(Ransomware attacks)、社交工程(social-engineering attacks),以及惡意內部活動。惡意內部活動係指企業組織之現任或前任員工、承包商或業務合作夥伴,以對組織產生負面影響方式濫用其關鍵資產。
  4. 憂心中小企業數位化不足:本研究中有88%之受訪者表示,擔心合作之中小企業之數位化程度不足,導致供應鏈或生態系統中使其網路韌性受阻。
  5. 網路領導者認為建立明確有效的法規範,將有助於鼓勵資訊共享與促進合作。

     

相關連結
相關附件
你可能會想參加
※ 世界經濟論壇發布《2022年全球網路安全展望》, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8791&no=57&tp=1 (最後瀏覽日:2026/04/23)
引註此篇文章
科法觀點
你可能還會想看
論ENUM服務推動與應用之法制議題

歐洲資料保護委員會於2020年2月18日發布GDPR實施情形的報告

  「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2020年2月18日發布GDPR實施情形的報告。報告內容主要聚焦於資料跨境傳輸機制、歐盟會員國間合作機制(含EDPB工作情形)以及中小企業法遵等其他議題。   在資料跨境傳輸機制方面,EDPB歡迎各國提出適足性認定的申請,並表達其在評估是否具有適足性時,將著重於相對方是否能使權利確實執行、矯正措施是否有效執行以及對於持續性的轉移是否有足夠保護措施等。EDPB特別建議執委會,應保守看待G20或G7等會議所進行的「資料自由流通」概念,並確保個資保護水準不會因此受到影響。   而在其他跨境傳輸機制上,EDPB建議歐盟執委會應儘速更新標準契約條款,使其能與GDPR規定相符;同時其公佈目前正在審查40個「拘束性企業規則」(Binding Cooperation Rules, BCR),預期至少半數將於2020年審結;而在驗證及行為準則方面,EDPB預期將於2020年底完成相關指引的公告。   在歐盟會員國間合作機制上,EDPB強調其將著重於探討新興技術發展如何兼顧個資保護,以使GDPR作為技術中立的架構,能在保護個資同時兼顧創新。此外,EDPB承認由於各國程序規範上的差異,使得合作面臨挑戰,其建議歐盟執委會持續觀察程序差異對於GDPR執行成效上的影響。EDPB同時認為目前各國監管機構所獲得的資源仍然不足,建議各會員國應提供監管機構更充足的資源。   在中小企業議題上,EDPB承認GDPR對中小企業帶來挑戰。對此,除已由各國監管機構提供相關支援外,EDPB也將持續投入相關支援工具的開發,以減輕中小企業的負擔。   整體而言,EDPB認為GDPR實施大體上是成功的,並能提高歐盟法律體系在全球的知名度,目前並無修改GDPR的需求。   根據GDPR第97條規定,歐盟執委會應於本年5月25日前針對跨境資料移轉、歐盟會員國間合作機制等GDPR落實情形向歐洲議會及歐盟理事會提交評估報告;並於此後每4年提交一次。EDPB此一報告係為提供執委會完成前述報告參考而做。

美國政府與業者合作補助低收入戶學童低價的寬頻網路與電腦

  美國聯邦通訊委員會FCC於2011年12月13日宣布新的補助計畫,提供低價的寬頻網路及電腦給計百萬戶之低收入戶,以消除數位落差。   美國聯準會(Federal Reserve)的研究報告指出,在同樣條件下,家裡擁有電腦與寬頻網路的學生比未擁有的學生,畢業率高出6%至8%。由此可見數位發展普及化的重要性。   與新加坡和南韓高達90%的寬頻普及率相比,美國現今仍有將近三分之一的人口,亦即約一億名美國民眾無法在家使用寬頻網路,因此FCC與相關業者成立一個名為「Connect to Compete」的非營利組織(private and nonprofit sector partnership),以提高寬頻網路的普及,並改善弱勢團體與一般民眾的落差。且此一計畫所需的經費非由政府支出、全民買單,而是全數由業者負擔。   此項計畫的補助標準為,任何符合公立學校午餐補助資格的家庭即可受補助,其每個月補助9.95美元以接取寬頻網路,並可購買最高150美元的電腦、並獲得免費的數位知識訓練。   此計畫規劃自2012年春季開始實施,部份城市率先執行,並預計於2012年9月前延伸至全國各個城市實施。

英國資訊委員辦公室提出人工智慧(AI)稽核框架

  人工智慧(Artificial Intelligence, AI)的應用,已逐漸滲透到日常生活各領域中。為提升AI運用之效益,減少AI對個人與社會帶來之負面衝擊,英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2019年3月提出「AI稽核框架」(Auditing Framework for Artificial Intelligence),作為確保AI應用合乎規範要求的方法論,並藉機引導公務機關和企業組織,評估與管理AI應用對資料保護之風險,進而建構一個可信賴的AI應用環境。   AI稽核框架主要由二大面向所構成—「治理與可歸責性」(governance and accountability)以及「AI特定風險領域」(AI-specific risk areas)。「治理與可歸責性」面向,係就公務機關和企業組織,應採取措施以遵循資料保護規範要求的角度切入,提出八項稽核重點,包括:風險偏好(risk appetite)、設計階段納入資料保護及透過預設保護資料(data protection by design and by default)、領導管理與監督(leadership management and oversight)、政策與程序(policies and procedures)、管理與通報架構(management and reporting structures)、文書作業與稽核紀錄(documentation and audit trails)、遵循與確保能力(compliance and assurance capabilities)、教育訓練與意識(training and awareness)。   「AI特定風險領域」面向,則是ICO特別針對AI,盤點下列八項潛在的資料保護風險,作為風險管理之關注重點: 一、 資料側寫之公平性與透明性(fairness and transparency in profiling); 二、 準確性(accuracy):包含AI開發過程中資料使用之準確性,以及應用AI所衍生資料之準確性; 三、 完全自動化決策模型(fully automated decision making models):涉及人類介入AI決策之程度,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)原則上禁止無人為介入的單純自動化決策; 四、 安全性與網路(security and cyber):包括AI測試、委外處理資料、資料重新識別等風險; 五、 權衡(trade-offs):不同規範原則之間的取捨,如隱私保護與資料準確性; 六、 資料最少化與目的限制(data minimization and purpose limitation); 七、 資料當事人之權利行使(exercise of rights); 八、 對廣泛公共利益和權利之衝擊(impact on broader public interests and rights)。   ICO將持續就前述AI特定風險領域,進行更深入的分析,並開放公眾討論,未來亦將提供相關技術和組織上之控制措施,供公務機關及企業組織進行稽核實務時之參考。

TOP