歐盟提出雲端服務層級標準化指導原則

今（2010）年5月，美國克雷格文特爾研究所宣布，成功完成首個由電腦設計之人造基因組控制，並具有自我繁殖功能的合成細胞，研究人員將其取名為辛西亞（Synthia），並發表於科學雜誌，此舉意味生物科技的發展，已經從生命複製階段步入生命創造階段。此次合成細胞的成功，引發先進國家政府方面的對經濟利益、管理及社會法制影響等方面的重視。美國總統歐巴馬便敦促生物倫理委員會對此發展進行密切觀察，評估此研究將之影響、利益和風險。 英國對於合成生物學發展的規範議題也十分關心，該國2009年開啟有關合成生物學的公眾對話（public dialogue），並於今年6月完成並公布報告。獲得的結論如下： 一、肯定合成生物學所帶來的機會： 英國民眾普遍認為合成生物學的應用將會帶來許多重要的機會，可協助解決當前社會所面臨的重大挑戰，例如氣候變遷、能源安全與重大疾病等。 二、關心合成生物學發展的不確定性： 由於合成生物學的發展充滿著不確定性，故當長期的負面影響尚未可知時，有些民眾反而因發展過於快速而覺得到沒有確定感。 三、期待國際規範形成： 英國民眾認為希望能有國際性的合成生物學規範與管理措施，尤其應針對合成生命物質在未受到管制而釋出於環境之生物安全議題，猶應有國際性的管理規範。 四、衡量科研人員動機： 英國民眾擔心，研究者好奇心的驅使，會使合成生物學發展過於快速，故應衡量其研究所帶來的廣泛影響。 五、強調科研人員之責任 負責資助的研究委員會應有清楚角色，促使科學家在此新興科技領域研究中，培養思考科學家責任之能力。 此次對話結果將會納入英國對合成生物學研究補助的法規政策，成為決定補助方式、項目與範圍的重要參考依據。這樣的作法是考量到，希望使合成生物學在健全的管理與法規下持續發展，預先減低過往生物科技發展導致民眾疑慮而致延滯發展的可能性，也更能將政府科研資助有效地投入有利於國家整體發展的領域中。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　今年十一月初，美國運動穿戴式裝置製造商Jawbone針對其競爭對手Fitbits所提起之專利侵權控告提出反訴，主張Fitbits濫用專利、涉嫌壟斷市場，違反反托拉斯法。本次Jawbone的反訴讓這場運動穿戴式裝置的智慧財產權之戰更加白熱化。 　　Jawbone及Fitbits為美國運動穿戴式裝置的兩大領導廠商，雙方在今年展開一連串的智慧財產權爭訟。這場智慧財產大戰開始於今年五月，當Fitbits正準備首次公開發行(IPO)時，Jawbone控告Fitbits挖角Jawbones部分員工，並藉此盜走Jawbone共約18000筆的機密資料。數週之後，Jawbone又控告Fitbits專利侵權，並緊接著向美國國際貿易委員會(United States International Commission)提起禁制令(Injunction)，禁止Fitbits進口侵權產品。Fitbits在九月反擊，控告Jawbone侵害了包含其軟體和使用者介面設計在內的專利。十月，美國法院命令Fitbits五名員工應歸還Jawbone的所有機密資料。在獲得初步的勝利後，Jawbone又以Fitbits違反反托拉斯法為由，針對Fitbits在九月提出的專利侵權訴訟提起反訴，再次對Fitbits予以回擊。 　　在本次反訴中，Jawbone表示：「Fitbits蓄意濫用專利，目的是為了保持其市場地位。」Jawbone同時否認所有Fitbits的專利侵權指控。Jawbone更額外聲明，Jawbones將繼續跟進之前對Fitbits提起的三項專利侵權訴訟、營業秘密侵害訴訟，以及對ITC提起的禁制令。 　　相較於手機等其他智慧型裝置，運動穿戴式裝置仍屬於較年輕的市場，因此仍有相當多的發展性。然而，許多大廠相繼進入這個領域，也讓智慧財產權爭議越趨激烈。