美國及其他CRI成員共同發布國際反勒索軟體倡議聯合聲明,說明其關鍵成果與未來展望
美國及其他參與國際反勒索軟體倡議(International Counter Ransomware Initiative, CRI)之50個成員(含國家及國際組織),於2023年10月31日至11月1日召開第三次大會,並且發布聲明表示:應積極建立對抗勒索軟體之集體韌性(collective resilience)、共同合作降低勒索軟體之散布能力、追究相關行為人之法律責任、制裁非法資助勒索軟體之組織、與私部門合力防止勒索軟體攻擊。
CRI於2023年之關鍵成果主要可分以下三個面向:
一、加強資安管理能力
對CRI新成員提供指導及戰術培訓,例如由以色列督導約旦,以確保新成員之資通安全。此外,亦發起利用人工智慧打擊勒索軟體之計畫。
二、促進資訊共享
設立可即時更新之資訊共享平台,使CRI成員得以迅速分享資安威脅指標。如立陶宛之惡意軟體資訊共享計畫(Malware Information Sharing Project, MISP)、以色列及阿拉伯聯合大公國之水晶球平台(Crystal Ball platforms)。
三、反制勒索軟體使用人
CRI發布前所未有之共同政策聲明,闡明成員不應支付贖金,且創設成員間共享之加密貨幣錢包黑名單(blacklist of wallets),以便揭露勒索軟體使用人之非法帳戶,並公開與犯罪組織之金流紀錄。另,CRI於2024年起將持續致力發展前述聲明提及之目標,並優先向潛在成員進行宣導,透過提供量身訂做之資安應變能力培訓,滿足潛在成員之需求。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
鄒雅蓓
副法律研究員 編譯整理
International Counter Ransomware Initiative 2023 Joint Statement, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/statements-releases/2023/11/01/international-counter-ransomware-initiative-2023-joint-statement/ (last visited Dec. 20, 2023).
陳政陽,〈G7發布金融機關因應勒索軟體危脅之基礎要點〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8949&no=64(最後瀏覽日:2023/11/10)
2011年3月31日,歐盟執委會啟用新一代的關鍵資訊基礎設施保護計畫(Critical Information Infrastructure Protection, CIIP)。上一代的關鍵資訊基礎設施保護計畫在2009年公布並已取得一定的成果。新一代的計畫集中在全球化的挑戰,著重在歐盟成員國與全球其他國家的合作,與相互之間的合作關係。 為了達成這個目標,歐盟執委會訂定以下的行動綱要: (1)準備和預防:利用成員國論壇(European Forum for Member States, EFMS)分享資訊及政策。 (2)偵測和反應:發展資訊分享及警示系統,建置民眾、中小型企業與政府部門間的資訊分享、警示系統。 (3)緩和及復原:發展成員國間緊急應變計畫,組織反應大規模網路安全事件,強化各國電腦緊急反應團隊的合作。 (4)國際與歐盟的合作:根據歐盟成員國論壇所制訂的,歐洲網際網路信賴穩定指導原則和方針,進行全球大規模網路安全事故的演習。 (5)制訂資訊通信技術的標準:針對關鍵資訊基礎設施制訂技術標準。 另外,在2011年4月14-15日舉行的關鍵資訊基礎設施保護電信部長級會議(Telecom ministerial conference on CIIP),整個會議針對歐盟成員國、私人企業、產業界及其他國家進行策略性的對話,強化彼此在數位環境中的合作與信任關係。並針對新一代的關鍵資訊基礎設施保護計畫,向歐盟執委會提出相關政策建言。 受全球化、資訊化發展的影響,以及各國間互賴程度的增加,使得影響關鍵資訊基礎設施(CIIP)安全的問題,不再侷限於單一區域,更需要各方多元的合作。
為確保使用奈米科技醫藥產品的安全性,美國參議員提出2010奈米科技安全法案美國食品暨藥物管理局(U.S. Food and Drug Administration,以下簡稱FDA)向來負有保障境內國民健康與人身安全之義務,於今(2010)年1月底,美國參議員Mark Pryor提出「2010奈米科技安全法案」(The Nanotechnology Safety Act of 2010, S.2942),擬授權FDA對使用奈米科技的醫藥與健康產品(medical and health products)進行管理規範。 「2010奈米科技安全法案」規劃將在聯邦食品、藥物與化妝品管理法(Federal Food, Drug and Cosmetic Act)的第十章中加入第1101節「奈米科技研究計畫」 (Nanotechnology Program),透過設置研究計畫對FDA管轄範圍內的產品展開調查,藉由研究進一步了解奈米材料對於生物體的作用與影響,經由對奈米材料毒性的認識,歸納出原則性規範,並將奈米材料依照等級劃分,建立以科學證據為基礎的資料庫,同時於內部單位設置奈米材料專家以供諮詢,故為利於日後收集相關科學證據資料作為資料庫之用,協助管理規範上可供參考與遵循之依據,FDA將研究與分析奈米材料係如何被人體吸收,以及如何設計奈米材料使其得以運載對抗癌症之藥物以消除腫瘤,抑或是植入骨骼的奈米級組織是如何強化關節並減少不必要的感染等,未來本法案若順利通過,FDA將對於使用奈米材料之醫藥品、醫療器材與食品添加劑進行規範。 美國參議員Pryor再度重申,FDA需要相當之資源與經費建立以科學證據為基礎的規範體系架構,確保以奈米材料為成分的醫藥健康產品係安全有效,若無相關研究提供完善證據資料,將無從檢驗含有奈米材料的醫藥健康產品,也將無從保障國民之健康安全,故未來期望此一法案之通過將授權FDA投入管理規範體系之建置,亦將有助於實踐以奈米科技改善人類健康與降低醫療成本之理想。
中國大陸財政部及科技部印發《國家重點研發計畫資金管理辦法》於2016年12月30日,中國大陸財政部及科技部為規範國家重點研發計畫管理,切實提高資金使用效益聯合發佈了《國家重點研發計畫資金管理辦法》。 該計畫以支援解決重大科技問題為目標,以“優化資源配置、完善管理機制、提高資金效益”為重點,辦法全文共8章57條,根據國家重點研發計畫特點,從預算編制到執行、結題驗收到監督檢查,針對全過程提出了資金管理的要求,明確《辦法》制定的目的和依據、重點研發計畫資金支援方向、管理使用原則和適用範圍,就重點專項概預算管理、專案資金開支範圍、預算編制與審批、預算執行與調劑、財務驗收、監督檢查等具體內容和流程、職責做了明確規定。 與原科技計畫資金管理辦法相比,《辦法》主要有以下變化: 1.建立了適應重點研發計畫管理特點的概預算管理模式。 2.遵循科研活動規律,落實“放、管、服”改革。適應科研活動的不確定性的特點,《辦法》堅持簡政放權,簡化預算編制,下放預算調劑許可權。 3.突出以人為本,注重調動廣大科研人員積極性。 為推動辦法有效落實,財政部及科技部並要求相關部門、專案承擔單位需要共同做好以下工作: 1.相關主管部門應當督促所屬承擔單位加強內控制度和監督制約機制建設、落實重點專項項目資金管理責任。 2.財政部、科技部將組織開展宣傳培訓,指導各有關部門和單位開展學習,全面提高對《辦法》的認識和理解,為政策執行到位提供保障。 3.科技部、財政部將通過專項檢查、專項審計、年度報告分析、舉報核查、績效評價等方式,對專業機構、專案承擔單位貫徹落實《辦法》情況進行監督檢查或抽查。