G7發布金融機關因應勒索軟體危脅之基礎要點
由於近年來勒索軟體對國際金融帶來重大影響,七大工業國組織G7成立網路專家小組CEG(Cyber Expert Group),並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」(Fundamental Elements of Ransomware Resilience for the Financial Sector),本份要點是為因應勒索軟體所帶來之危脅,提供金融機關高標準之因應對策,並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果,建立處置應變之基礎,加強國際金融的韌性。該份要點內容著重於民營之金融機關(private sector financial entities),或關鍵之第三方提供商(critical third party providers),因其本身有遵守反洗錢和反恐怖主義之融資義務,但也可依要點訂定之原意,在減少自身受到勒索軟體之損害上,或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本,要點所提列之重點如下:
1.網路安全策略與框架(Cybersecurity Strategy and Framework):
將因應勒索軟體威脅之措施,列入金融機關整體的網路安全策略與框架之中。
2.治理(Governance):
支付贖金本身可能於法不容許,也可能違背國家政策或業界基準,金融機關須在事件發生前,檢視相關法規,並針對潛在的被制裁風險進行評估。
3.風險及控制評估(Risk and Control Assessment):
針對勒索軟體之風險,應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約,填補勒索軟體造成的損害。
4.監控(Monitoring):
針對潛在的勒索軟體,金融機關有監控其活動進而發現隱藏風險之義務,並向執法與資通安全機關提供該惡意行為之相關資訊。
5.因應處置、回覆(Response):
遭遇勒索軟體攻擊之事件,就其處置措施,須依原訂定之計劃落實。
6.復原(Recovery):
遭遇勒索軟體攻擊之事件,將受損之機能復原,須有明確的程序並加以落實。
7.資訊共享(Information Sharing):
須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。
8.持續精進(Continuous Learning):
藉由過往之攻擊事件獲取知識,以提高應變勒索軟體之能力,建立完善的交易環境。
此要點並非強制規範,因此不具拘束力,且整合了2016年G7所公布的「G7網路安全文件之要素」(G7 Fundamental Elements of Cybersecurity document)之內容。綜上述CEG所提列重點,針對我國金融機關在抵禦網路攻擊之議題上,應如何完善資安體制,與日本後續因應勒索軟體之政策,皆值得作為借鏡與觀察。
- 〈G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素の公表について〉,日本金融庁ホームページ
- G7,〈Fundamental Elements of Ransomware Resilience for the Financial Sector〉,Oct. 13, 2022
- 日本金融庁,〈金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素(仮訳)〉,令和4年10月21日
- 〈金融セクターのサイバーセキュリティに関するG7の基礎的要素の公表について〉,平成28年10月11日,日本金融庁ホームページ
- G7,〈G7 Fundamental Elements of Cybersecurity for the Financial Sector〉,Oct. 11, 2016
- 日本金融庁,〈金融セクターのサイバーセキュリティに関するG7の基礎的要素(仮訳)〉,平成28年10月11日
陳政陽
副法律研究員 編譯整理
〈G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素の公表について〉,日本金融庁ホームページ:https://www.fsa.go.jp/inter/etc/20221021/contents.html(最後瀏覽日:2023/1/15)。
G7,〈Fundamental Elements of Ransomware Resilience for the Financial Sector〉,Oct. 13, 2022,https://www.fsa.go.jp/inter/etc/20221021/ransom_fe.pdf(最後瀏覽日:2023/1/15)。
日本金融庁,〈金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素(仮訳)〉,令和4年10月21日,https://www.fsa.go.jp/inter/etc/20221021/ransom_kariyaku.pdf(最後瀏覽日:2023/1/15)。
〈金融セクターのサイバーセキュリティに関するG7の基礎的要素の公表について〉,平成28年10月11日,日本金融庁ホームページ:https://www.fsa.go.jp/inter/etc/20161011-2.html(最後瀏覽日:2023/1/15)。
G7,〈G7 Fundamental Elements of Cybersecurity for the Financial Sector〉,Oct. 11, 2016,https://www.fsa.go.jp/inter/etc/20161011-2/3.pdf (最後瀏覽日:2023/1/15)。
日本金融庁,〈金融セクターのサイバーセキュリティに関するG7の基礎的要素(仮訳)〉,平成28年10月11日,https://www.fsa.go.jp/inter/etc/20161011-2/4.pdf (最後瀏覽日:2023/1/15)。
歐盟在歐盟執委會的支持之下,致力於網實整合的發展,2015年6月歐盟提出以五項關鍵領域作為發展方向,包含交通、能源、健康、生產、以及基礎設施等。其中在智慧製造部分,主要為從大量生產到彈性、個別客製化生產,以及在生產以及產線自動化之下,增加市場競爭力。但針對此等發展,歐盟也提出未來將面臨幾點挑戰: 1.科學:網實整合系統應特別考量社會技術層面、使不同學科整合、結合相關系統理論,以及建構複式領域模型等 2.技術:由於不同的技術方法,因此應建立互通性平台系統、使自動化設計與執行更加成熟、減少資料隱私問題、整合安全性、建立系統方式處理無法確定之資訊等。 3.經濟:透過網實整合,從產品到服務,可建立新的商業模式。 4.教育:網實整合之應用需具備充分的條件,因此,可透過教育及訓練體制來增加對相關應用的認識。 5.法律:減少網實整合系統建立產生的障礙,消除法規解釋不清楚之部分,並且改善以確認整合系統應用正確性。 6.社會:網實整合應用對公共、產業以及政治等層面產生之改變與風險管理。 網實整合在生產力4.0的發展當中,屬於最為核心之部分,目前歐盟所舉出可能產生的面向與問題,值得作為未來政策法制方向之參考。
歐盟首例 丹麥救濟基金途徑保障遭受基改(Genetically Modified,GM)作物污染的農民歐盟執委會於11月底同意丹麥針對GM作物所提出的賠償方案(compensation scheme),這是歐盟國家中第一個透過法律途徑來保障因GM作物污染而遭受經濟損失的農民的國家。丹麥所提出的賠償方案為當非GM的作物(如有機或是傳統作物)被含有超過0.9%成份的GM作物污染,且限於標示GM與法律未要求應標示之作物有市場價差時,農民即可得到賠償。 歐盟認為賠償方案有助於基改與非基改的共存制度,目前賠償基金主要來源為種植可能導致污染的GM作物的農民所繳納之特別捐,藉由此方案更可以刺激種植GM作物的農民審慎地預防污染的發生,未來賠償基金將改為由私人保險支付。 生物科技在歐盟一直是受爭議之領域,事實上,歐洲人民反GM食品的情緒有增無減,從英國人民關切GM食品的比例逐漸爬升(從2002年的56%提高至現今的61%)即可看出端倪。此外,歐洲食品大廠Heinz與英國的大型超商也都已改用非GM的名義來當為市場銷售工具。不過,也不是所有的歐盟國家中態度都相同,歐盟所進行不下十次的支持或反對GM食品或飼料投票,英國、芬蘭和紐西蘭永遠都是投下支持GM的那一票。
智慧財產權管理標準之建立-由管理系統標準談起(上)