美國總統拜登簽署「改善國家網路安全」行政命令

  美國總統拜登於2021年5月12日簽署「改善國家網路安全」總統行政命令(Executive Order on Improving the Nation’s Cybersecurity),旨在增進美國政府與私部門在網路安全議題的資訊共享與合作,以加強美國對事件發生時的因應能力。本命令分從數個面向達成前述目標,分別為:

(1)情資共享之強化:消除威脅政府與私部門之間資訊共享的障礙,要求IT與OT服務者偵測到可疑動態時,與政府共享相關資訊與相關安全漏洞資料,簡化並提高服務商與聯邦政府系統服務合約之資安要求。

(2)現代化聯邦政府網路安全:針對聯邦政府網路,建構更現代化與嚴格的網路安全標準,並採取零信任架構,例如應強化雲端服務與未加密資訊之共享機制,包括由公眾直接透過WiFi連網取得或下載之資訊網頁等,針對其建構安全機制、更新加密金鑰與建構新的安全工具。

(3)強化軟體供應鏈安全:提高軟體供應鏈安全性,包括要求開發人員提高其軟體透明度、公開安全資料、利用聯邦資源促進軟體開發市場,以及建構軟體認證,使市場更容易確定該軟體的安全性。

(4)建立資安審查委員會:建立由公私部門共同合作的資安審查委員會(Cybersecurity Safety Review Board),針對重大資安事件做及時的回應、,並進行獨立第三方之審查與建議。

(5)標準化聯邦政府應對資安弱點及資安事件的教戰手冊:建構聯邦政府因應資安事件之資安事件教戰手冊,使聯邦政府得以及時並一致地回應網路攻擊事件。

(6)改進對聯邦政府網路資安弱點及資安事件之偵測:清查聯邦政府端點,改善聯邦政府對資通安全事件的偵查能力,並進一步布建強大的端點監測和回應系統(Endpoint Detect and Response, EDR)。

(7)提升聯邦政府調查與補救之能力:提升資訊安全事件調查與補救能力,並透過更頻繁與一致的資安事件日誌來減緩駭客對聯邦政府網路的入侵。

(8)建制國家安全系統:要求聯邦政府部門採用符合相關網路安全要求之國家安全系統。

  本行政命令是美國政府在美國油管遭駭事件後,對相關事件之具體因應。本行政命令雖主要著眼於聯邦政府的網路安全,但亦透過總統行政命令鼓勵私部門在網路安全核心服務上加強合作與投資。預計美國在此總統行政命令基礎上,將有進一步強化公私合作的措施與資源挹注。

相關連結
※ 美國總統拜登簽署「改善國家網路安全」行政命令, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8691 (最後瀏覽日:2022/08/09)
引註此篇文章
你可能還會想看
澳洲新南威爾斯政府將推動創新採購與擴大監理沙盒適用範圍

  澳洲經濟核心所在之新南威爾斯州(首府雪梨)於2016年11月30日提出新南威爾斯創新戰略(The NSW Innovation Strategy),嘗試整合政府公部門、營利組織、非營利組織、教育及研究機構、社群或個人共同面對新的經濟、社會、環保議題之挑戰,藉由投入新型態的公共投資(the new forms of public investment),協助發明與創新者得以將他們好的創意轉換為成功的商品與服務。此外,不僅要發展未來產業創造工作機會,更要為此預先儲備能夠發揮高科技發展所需技能之人力資源。   基此,新南威爾斯政府的創新戰略將著重於下列四項目標的達成: (1)政府成為創新領導者(Government as an innovation leader) (2)促進和運用研究發展(Fostering and leveraging research and development) (3)未來技能養成(Skills for the future) (4)創業者的家園(A home for entrepreneurs)   同時,具體執行方法,在機制面上首先將啟動新南威爾斯創新窗口服務(NSW Innovation Concierge Service),與澳洲跨部會創新委員會協調運作,以確保重要意見並未遺漏,並且讓專家及決策者可考量到各種可能。   而其他執行方法中,在法制面上影響較大者是在澳洲政府推動金融科技之監理沙盒制度的基礎上,嘗試擴大適用範圍不限於金融業之監理法令,可及於創新產業之法令試作。另外,也將針對採購規範進行修正,使政府與民間可以更便於運用政府採購促進產業發展與扶助中小企業,同時滿足政府提供公共服務之需求。更甚者,將推動對創新商品及服務的政府採購,藉由提供一定市場需求,穩定新創科技及業者之發展。

英國NCSC針對使用高風險供應商之電信網路提出風險管理建議

  英國於2020年1月31日正式脫歐,同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定(Free Trade Agreement, FTA)。然而,美國認定中國大陸華為的5G設備存在資安風險,可能被用於間諜活動進而威脅國家安全,故主張美英貿易合作與情報共享的前提,必須建立在英國排除使用華為5G網路基礎建設之上,對此英國嘗試透過政策研擬,在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心(National Cyber Security Centre, NCSC)於2020年1月28日,即針對使用「高風險供應商(High risk vendors簡稱HRV)」之電信網路,提出風險管理建議,說明如何因應HRV帶來的網路安全風險及挑戰(須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor,必須透過關鍵與否及風險高低兩個變動因素加以細部區分)。目前英國5G及光纖到戶(Fiber To The Home, FTTH)計畫推動處於關鍵階段,NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議,將有助於保護營運商免於外部攻擊,並降低英國電信網路的國家安全風險。   NCSC在報告中,針對何謂高風險供應商,及如何管理這些供應商帶來的特定安全風險,提出詳盡判斷標準包括:供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點:包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管,進而與英國法律相抵觸甚至進行外部指導等。   又為減少由HRV引起的網路安全風險,NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務,並將高風險廠商供應上限設定為35%,有效進行網路安全風險管理,平衡安全性風險和市場供應多樣化彈性需求。另外,其他具備敏感性的網路營運模式,例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統(BNG / BRAS)等,必須根據具體情況,對HRV進行限制;且不得在與政府營運或重要國家基礎設施,及任何與安全系統直接相關的敏感網路中使用HRV設備。目前,中國大陸華為是英國NCSC唯一認定的HRV廠商,華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制;華為亦需遵守NCSC要求,訂定風險緩解策略,確保產品及服務不致威脅英國網路即國家安全。

美國將重新檢討網域管理政策

  美國商業部將於 2006 年 9 月底前舉行針對網域管理的公聽會,檢討美國政府目前對於網域名稱的管理作為,並討論是否將取消對網域名稱的限制與管理。美國這項舉動是回應部分國家對於美國現行網域管理政策的不滿。   目前美國政府主要透過對「網域名稱與位址管理機構」( the Internet Corporation for Assigned Names and Numbers ; IC ANN )的控制,來管理所有”.com” 的網域,並擁有否決網域名稱申請案的權力。美國對於網域的控制,引起部分國家的政府及評論家的批評,認為美國政府對網域的過度干預,已經影響了全球通訊及商業運作的基礎。舉例而言,由於美國政府強烈反對,使專用色情網域”.xxx”申請案遭 ICANN 否決一事,升高了歐盟執委會對美國政府過渡干預網域管理的不滿。   為平衡國際輿論壓力,美國商業部預定於 2006 年 9 月底前召開公聽會,討論往後網域管理的程序及方式,並計畫於 9 月 30 日改變目前對 ICANN 的管理策略。

藥品專利聯盟和WIPO將為永續發展及COVID-19更進一步共享策略和資訊

  藥品專利聯盟(Medicines Patent Pool,下簡稱MPP)2021年2月宣布將和世界智慧財產權組織(World Intellectual Property Organization,下簡稱WIPO)加強合作,因應COVID-19及推動《聯合國2030永續發展議程》(United Nations 2030 Agenda for Sustainable Development)。MPP是聯合國支援的公衛組織,透過與政府、國際組織、企業、患者團體等對象合作,對所需藥品進行排序,並和藥品專利權人簽署協議,將其授權之智財權納入專利庫,以鼓勵製造學名藥和開發新配方,促進中低收入國家的救命藥品取得與研發。   雙方將在以下領域共同合作: 一、探索促進以中低收入國家為主的COVID-19醫療技術創新及對應之智財管理策略,並在網頁上共享資訊與工具。 二、和各國專利局合作,透過連結PATENTSCOPE、Pat-INFORMED及MedsPaL等資料庫,提高關鍵藥品的專利透明度和收集資訊,並在各論壇呈現合作成果。 三、安排授權和技術移轉相關活動,包含為WIPO成員國提供的技術支援、WIPO中小企業暨創業支助司(WIPO’s SMEs and Entrepreneurship Support Division)和WIPO學術機構(WIPO Academy)執行的活動和計劃等。 四、在專利法常設委員會(Standing Committee on the Law of Patents,SCP)共享資訊:應WIPO成員國要求,介紹MPP的業務、專利和授權資料庫MedsPaL。 五、為支持被忽視的熱帶疾病(neglected tropical diseases,NTDs)、瘧疾和肺結核的早期研發,將定期協商並在網頁提供相關連結。 六、探索能進一步納入MPP協議中的爭端解決條款。   近來MPP更邀請WIPO以無表決權的觀察員身份參與理事會,雙方期望本次合作能為大眾帶來更多的利益。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

TOP