G7發布金融機關因應勒索軟體危脅之基礎要點
由於近年來勒索軟體對國際金融帶來重大影響,七大工業國組織G7成立網路專家小組CEG(Cyber Expert Group),並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」(Fundamental Elements of Ransomware Resilience for the Financial Sector),本份要點是為因應勒索軟體所帶來之危脅,提供金融機關高標準之因應對策,並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果,建立處置應變之基礎,加強國際金融的韌性。該份要點內容著重於民營之金融機關(private sector financial entities),或關鍵之第三方提供商(critical third party providers),因其本身有遵守反洗錢和反恐怖主義之融資義務,但也可依要點訂定之原意,在減少自身受到勒索軟體之損害上,或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本,要點所提列之重點如下:
1.網路安全策略與框架(Cybersecurity Strategy and Framework):
將因應勒索軟體威脅之措施,列入金融機關整體的網路安全策略與框架之中。
2.治理(Governance):
支付贖金本身可能於法不容許,也可能違背國家政策或業界基準,金融機關須在事件發生前,檢視相關法規,並針對潛在的被制裁風險進行評估。
3.風險及控制評估(Risk and Control Assessment):
針對勒索軟體之風險,應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約,填補勒索軟體造成的損害。
4.監控(Monitoring):
針對潛在的勒索軟體,金融機關有監控其活動進而發現隱藏風險之義務,並向執法與資通安全機關提供該惡意行為之相關資訊。
5.因應處置、回覆(Response):
遭遇勒索軟體攻擊之事件,就其處置措施,須依原訂定之計劃落實。
6.復原(Recovery):
遭遇勒索軟體攻擊之事件,將受損之機能復原,須有明確的程序並加以落實。
7.資訊共享(Information Sharing):
須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。
8.持續精進(Continuous Learning):
藉由過往之攻擊事件獲取知識,以提高應變勒索軟體之能力,建立完善的交易環境。
此要點並非強制規範,因此不具拘束力,且整合了2016年G7所公布的「G7網路安全文件之要素」(G7 Fundamental Elements of Cybersecurity document)之內容。綜上述CEG所提列重點,針對我國金融機關在抵禦網路攻擊之議題上,應如何完善資安體制,與日本後續因應勒索軟體之政策,皆值得作為借鏡與觀察。
- 〈G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素の公表について〉,日本金融庁ホームページ
- G7,〈Fundamental Elements of Ransomware Resilience for the Financial Sector〉,Oct. 13, 2022
- 日本金融庁,〈金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素(仮訳)〉,令和4年10月21日
- 〈金融セクターのサイバーセキュリティに関するG7の基礎的要素の公表について〉,平成28年10月11日,日本金融庁ホームページ
- G7,〈G7 Fundamental Elements of Cybersecurity for the Financial Sector〉,Oct. 11, 2016
- 日本金融庁,〈金融セクターのサイバーセキュリティに関するG7の基礎的要素(仮訳)〉,平成28年10月11日
- 製造業及技術服務業個資保護及資安落實-經濟部工業局112年企業個人資料保護暨資訊安全宣導說明會
- 【已額滿】2023科技研發法制推廣活動—科專個資及反詐騙實務講座
- 供應鏈資安國際法制與政策趨勢分享會
- 【實體】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 【線上】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 商業服務業個資保護宣導說明會
- 【實體】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 【直播】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 數位發展部數位產業署113年資訊服務業者個資安維辦法宣導說明會
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
陳政陽
副法律研究員 編譯整理
〈G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素の公表について〉,日本金融庁ホームページ:https://www.fsa.go.jp/inter/etc/20221021/contents.html(最後瀏覽日:2023/1/15)。
G7,〈Fundamental Elements of Ransomware Resilience for the Financial Sector〉,Oct. 13, 2022,https://www.fsa.go.jp/inter/etc/20221021/ransom_fe.pdf(最後瀏覽日:2023/1/15)。
日本金融庁,〈金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素(仮訳)〉,令和4年10月21日,https://www.fsa.go.jp/inter/etc/20221021/ransom_kariyaku.pdf(最後瀏覽日:2023/1/15)。
〈金融セクターのサイバーセキュリティに関するG7の基礎的要素の公表について〉,平成28年10月11日,日本金融庁ホームページ:https://www.fsa.go.jp/inter/etc/20161011-2.html(最後瀏覽日:2023/1/15)。
G7,〈G7 Fundamental Elements of Cybersecurity for the Financial Sector〉,Oct. 11, 2016,https://www.fsa.go.jp/inter/etc/20161011-2/3.pdf (最後瀏覽日:2023/1/15)。
日本金融庁,〈金融セクターのサイバーセキュリティに関するG7の基礎的要素(仮訳)〉,平成28年10月11日,https://www.fsa.go.jp/inter/etc/20161011-2/4.pdf (最後瀏覽日:2023/1/15)。
歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。 故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。 該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。
中國大陸科技部公布參與2013年度科技型中小企業創業投資引導基金階段參股的創業投資機構名單根據中國大陸科學技術部(以下簡稱科技部)、財政部2013年11月8日以國科發計〔2013〕647號公布之<科技部、財政部關於2013年度科技型中小企業創業投資引導基金階段參股項目立項的通知>,確定計有21家創業投資機構參與本年度階段參股之立項項目,計劃資助金額約人民幣8億元。 按「科技型中小企業創業投資引導基金」係中國大陸財政部及科技部為貫徹<國務院實施《國家中長期科學和技術發展規劃綱要(2006至2020年)若干配套政策》>,支持科技型中小企業自主創新,而於2007年7月6日公布<科技型中小企業創業投資引導基金管理暫行辦法>。其中第3條規定:「引導基金的資金來源為,中央財政科技型中小企業創新基金;從所支持的創業投資機構回收和社會捐贈的資金」;第8條第一項前段規定:「本辦法所稱的創業投資企業,是指具有融資和投資功能,主要從事創業投資活動的公司制企業或有限合夥制企業」。 中國大陸政府希冀透過引導基金的協助,鼓勵當地創投業者參與引導基金支持的研發項目,並以「創業投資企業」或「創業投資管理企業」等方式,對於從事科技研發的中小企業提供實質資金協助,其具體鼓勵的方式依前述辦法第5條規定可為階段參股、跟進投資、風險補助等。以本次公布之通知為例,其所稱「階段參股」是指引導基金向創業投資企業進行股權投資,並在約定的期限內退出(參股期限一般不超過5年)。而符合該辦法規定條件的創業投資機構作為發起人,發起設立新的創業投資企業時,可以申請階段參股。 近來我國主管機關為促進經濟發展,不斷思索鼓勵創業、就業之措施,或許從創投面提供實質之協助也是參酌因素之一,其他國家或地區的具體措施及內容似值得我們後續觀察、研究。
基因改造食品標示問題有新進展加拿大目前對基因改造產品的政策是採取自願標示制度。然而魁北克省的消費者贊成應對含有機因改造成份之食品實施強制標示。本月初,該省農林廳長在一項會議中指出,基因改造產品可能存有環境方面的風險並且有消費者疑慮的問題,因此應嚴謹以對,改採取強制性標示制度,讓消費者可以自行選擇。雖然目前聯邦官員以及其他省份仍贊同現行的自願標示制度,首長們 ( 大部分反對強制標示的立法 ) 同意繼續討論此議題。 此外,目前近日美國阿拉斯加州亦通過 Bill 25 法案,強制對基因改造魚類及相關魚類產品作明顯標示。這項法案通過後,該州成為美國第一個針對基因改造食品標示問題作明確立法的一州,該法案更成為美國第一個要求標示基因改造食品的法案。有關觀察家預期這個法案將會帶動美國各州對基因改造食品之標示進行必要的規範。根據美國 Rutgers 大學於 2004 年 11 月所作的民調顯示,約有 89 %的美國民眾希望基因改造食品應有明確的標示。
肯塔基州上訴法院認為,未經當事人同意即使用臉書上之tag功能標示出該當事人,並無違法美國肯塔基州上訴法院於月前駁回一名女子所提出的監護權認定案的上訴。該女子之上訴理由中提到:法院所據以決定監護權之證據之一,乃是未經她同意即被其他人標示出該女子姓名,並放在臉書(Facebook)上供人點閱、瀏覽的照片。但該州上訴法院並不同意這個看法,其在判決中指出:目前並無任何法律要求他人必須先取得該女子之同意後才能對之攝相,並上傳至臉書或其他網站;此外亦無任何法律規定其他人不得將該女子之姓名標示(tag)於這些照片上。 暫撇開其他法律不談,此一案件引人思考之與個人資料保護相關之處至少有二:首先,是關於法律適用的部分,亦即,如本案發生在日後個人資料保護法開始施行後的台灣,則該法第51條第1項(註1)之排除規定是否適用的問題;其二則是法律政策的部分,究竟在這個資訊數位化且易於搜尋的網路時代,為個人或家庭活動目的而毫無設限(例如本案之供不特定人瀏覽)的利用他人之個人資料是否確無為保護個人資料為著眼點之規範必要?(在肯塔基州這個案子裡,此一「無規範」的結果或許是正面的,但在其他的許多狀況,可能並非如此。) 註1:個人資料保護法第51條第1項:「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」