歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年11月發布《物聯網安全準則-安全的物聯網供應鏈》(Guidelines for Securing the IoT – Secure Supply Chain for IoT),旨在解決IoT供應鏈安全性的相關資安挑戰,幫助IoT設備供應鏈中的所有利害關係人,在構建或評估IoT技術時作出更好的安全決策。 本文件分析IoT供應鏈各個不同階段的重要資安議題,包括概念構想階段、開發階段、生產製造階段、使用階段及退場階段等。概念構想階段對於建立基本安全基礎非常重要,應兼顧實體安全和網路安全。開發階段包含軟體和硬體,生產階段涉及複雜的上下游供應鏈,此二階段因參與者眾多,觸及的資安議題也相當複雜。例如駭客藉由植入惡意程式,進行違背系統預設用途的其他行為;或是因為舊版本的系統無法隨技術的推展進行更新,而產生系統漏洞。於使用階段,開發人員應與使用者緊密合作,持續監督IoT設備使用安全。退場階段則需要安全地處理IoT設備所蒐集的資料,以及考慮電子設備回收可能造成大量汙染的問題。 總體而言,解決IoT資安問題,需要各個利害關係人彼此建立信賴關係,並進一步培養網路安全相關專業知識。在產品設計上則須遵守現有共通的安全性原則,並對產品設計保持透明性,以符合資安要求。
事前的事故應變計畫得降低資料外洩成本根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每項資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,資料侵害事故的平均成本也會節省4英磅。 依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。 專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
論ENUM服務推動與應用之法制議題 日本《第6期科學技術基本計畫方向》建言日本《科學技術基本計畫》為依據其科學技術基本法之要求,以每5年為期擬定,目的在於建構一立基於長期性觀點且體系化的科學技術政策,並以之為施政框架,目前實施之科學技術基本計畫,為規劃自2016年至2020年期間施行之第5期科學技術基本計畫。而為形成下一階段之科學技術基本計畫,日本學術會議現公布了「第6期科學技術基本計畫方向」建言,為日本學術會議所屬之學者委員會學術體制分科會經審議後,就上述科學技術基本計畫之擬定發表意見,預計會於內閣府召開之綜合科學技術與創新會議(総合科学技術・イノベーション会議)中提出,作為訂定第6期科學技術基本計畫之重要參考。 本建言除了持續強調投資基礎科學研究的重要性,亦關注學術多元發展與提升整合性,強調優越學術基礎的建構、發展、以及用以解決問題之能力提升,繫諸各領域、地區、個人所關切議題與思考方式之不同所帶出的多元性,而為克服現代社會面臨的各種課題,應注重自然科學與人文社會科學之跨域合作以形成具統合性的知識基礎,同時須平衡投入各學門的研究預算,避免科學技術投資過分集中於特定的學術領域。具體的方向上,本建言主要提供了4個規劃面向:(1)強化對博士生就學的經濟上支援,並增加相關就業機會,如增加大學終身教職員額與高階技術人才職位等;(2)為進一步促成前述的學術多元發展,重新檢討並建構政府資助各類研究之制度藍圖,除了持續資助基礎研究及應用研究之外,強化對年輕學者的補助,亦期待能對需持續性進行之研究(如生命科學等需長時間蒐集並保存資料之領域)提供長期或無限期的支援;(3)追求科研參與者的多元化(如鼓勵女性、外國人、身障者的投入),以實現科學家社群之多元發展;(4)促成科學家社群以個人身分或透過組織參與科學技術政策形成,避免相關政策的擬定與施行未能切合研究實務之需求。