搜尋結果

以下是含有資安規範的搜尋結果,共88

  • 券商集體遭駭客勒索 證期局八招護資安

     台股萬一行情延燒、交易熱絡,券商卻驚傳集體DDoS(洪水攻擊)勒索事件。證期局副局長蔡麗玲5日指出,關於證券期貨業者在資訊安全上已有八大措施,包括設立資安專則單位、每年由證交所櫃買、期交所等中心進行資通安全檢查外部稽核等。

  • 券商頻遭駭客攻擊 金管會8大措施早有準備

    多家券商近日陷入駭客危機!證交所證實,有證券期貨業者遭分散式阻斷服務攻擊(DDoS),造成短暫時間無法網路下單。金管會表示,5日早上有6家業者通報異常,影響時間都在半小時內,未造成財損;金管會指出,對於證券期貨業者持續實行8大資安措施,因此這次業者應對也很快速和冷靜。

  • 券商遭駭 證期局祭八大資安防護措施

    台股萬一行情延燒、交易熱絡,券商卻驚傳集體DDoS(洪水攻擊)勒索事件。證期局副局長蔡麗玲5日指出,關於證券期貨業者在資訊安全上已有八大措施,包括設立資安專則單位、每年由證交所櫃買、期交所等中心進行資通安全檢查外部稽核等等。

  • 美台網路資安攻防實兵演練6日啟動紅藍對抗

    美台網路資安攻防實兵演練6日啟動紅藍對抗

    美國在台協會與行政院資安處首度合作,舉行首次大規模網路攻防實兵演練,主體以金融領域為主,我方人員扮演守方的藍隊、美方在內的其他國家扮演攻防紅隊,6日啟動實兵演練,並將在8日舉行總結會議。

  • 《資訊服務》安碁狂漲140%,蜜月行情爆表

    宏碁(2353)旗下安碁資訊(6690)今天以55元掛牌上櫃,開盤直接來到130元,盤中進一步衝高到133.5元,漲幅達140%。

  • 開放銀行啟動 顧立雄:第二階段壓力更大

     「開放API平台」第一階段於16日啟動,外界質疑第二階段要開放「消費者資訊」將面臨銀行卻步的窘境,金管會主委顧立雄表示,「第二、三階段對主管機關來說壓力更大」,壓力來自個資保護、資安問題,「TSP業者管理標準」、「消費者爭議責任歸屬」都要審慎規範,目前密切關注澳洲的發展。

  • 《金融》業務11項缺失,安聯人壽挨罰400萬元

    《金融》業務11項缺失,安聯人壽挨罰400萬元

    金管會公布最新裁罰案,指出安聯人壽辦理保單客戶風險評估、要保人變更、保費來源檢核、洗錢防制方面,共出現11項缺失,由於多項缺失有礙健全經營之虞,依違反保險法及洗錢防制法相關規定裁罰400萬元、並給予5項糾正。

  • 南海控股入股陽信不算陸資? 顧立雄3點說明

    南海控股入股陽信不算陸資? 顧立雄3點說明

    投審會以國安疑慮駁回南海控股申請雙子星案,各界關心南海控股同時也有入股陽信銀行的適法性,金管會主委顧立雄27日回應三點,即三年前認定南山控股可投資陽信銀,三年後的今天,仍是無法從現行法規認定其為陸資,二是完全100%尊重投審會以國安為理由駁回雙子星案,三是雙子星與陽信銀案在各面向都不同,即並無類似國安疑慮。 \n顧立雄強調,投審會26日的決定,即沒有辦法依現行法規認定南海控股是中資,是以國安理由駁回,金管會100%尊重投審會決定,若依現行規範南海控股確實是不符合中資的定義,即中資要控有30%股權或大陸籍人士為負責人等,但因為雙子星是國家重大建設,且港資與中資界線越來越不清楚,所以投審會以國安理由駁回。 \n但南海控股入股陽信銀是三年前通過的案件,至今南海控股持有陽信銀約3.05%,連到5%的申報門檻都不到,顧立雄說:「是蠻低水位,沒有經營控制權」,這樣低水位的持股比,有無影響銀行經營或要以國安問題來檢視,恐怕是與雙子星案不相同。

  • 獨》國安危機 銓敘部個資外洩情治人員全都露

    獨》國安危機 銓敘部個資外洩情治人員全都露

    銓敘部爆發史上最慘的資安事件,24萬餘筆國家文官資料遭到外洩。國安人士透露,銓敘部漠視資安規定,竟將機密資料放在外網,導致個資早在2012年以前就被駭走,最令人憂心的是,國安人員昨天進行名單比對,發現國安、軍情、調查等情治人士身分,竟全攤在國外網站,堪稱史上最嚴重國安危機。 \n \n據了解,銓敘部日前發現掌管的大批文官資料外洩,並證實國外網站早已揭露自2005年起至2012年6月30日間,全國中央及地方機關公務人員送審人員歷史資料,實際影響人數為24萬3376筆,欄位包含身分證字號、姓名、服務機關、職務編號、職稱。 \n \n昨天上午,國安會、國安局、軍情局及調查局及其他情治單位,共同出席行政院國家通資安全會報,所有出席人員都臉色鐵青,無法置信為何會發生如此不該發生的狀況,甚至有官員痛批銓敘部便宜行事的做法簡直害死人。 \n \n據了解,公務機關向來都將最機密的人事資料,鎖在外界無法入侵的內部封閉區域網路中,若是情治機關更是嚴格規範,但是資安單位初步調查,銓敘部多年來,竟然草率的將所掌管全國國家文官個人資料放在外網上,輕易的容易遭人觀看並竊走資料。 \n \n據透露,原本國安單位只以為是一起單純的資料外洩,但是資安人員在清查時,在外洩的個資中,竟輕易的搜尋包括國安局、情報局、調查局或單位等關鍵字後,所有任職這些機敏單位,甚至無法曝露身分的情治人員身分,全出現在名單當中,國安人員驚覺「事情大條了。」 \n \n目前國安單位擔憂的是,這些我方各單位駐外情治人員名單既然都早被揭露多年,極可能其他國家,包括大陸的情治單位,也早已掌握我方人員身分,但我方卻仍不自知,這是最恐怖的狀況。 \n \n為此國安人士痛批,若是出事,銓敘部要負最大責任。行政院高層也表示,每年行政院通資單位,都會到各官署檢查資安漏洞及宣導資安防治事項,但銓敘部看來完全毫無作為。 \n \n最尷尬的是,法務部調查局資通安全處、刑事警察電信偵查大隊等目前已全面跨部會進行資安清查,並防堵資安漏洞。尷尬的是,這些人員也都看到自己的名字在洩漏名單當中。 \n \n國安人士說,這次銓敘部資料外洩,到底是來自境外駭客,還是大陸網軍還無法確定,調查局將深入調查。 \n \n

  • 2023智慧製造上看4800億美元 電腦展聚焦智慧資安主題

    台灣物聯網產業技術協會(TwIoTA)表示,根據市調機構Zion Market Research研究報告指出,智慧製造需求持續穩健成長,預估到2023年,全球智慧製造市場將高達4790.1億美元,2018到2023期間的年複合成長率(CAGR)為15.4%,包括大數據、雲端運算、網宇實體系統(CPS)、協作式機器人與擴增實際技術(AR)將是重要因素,由於相關運作都需要資訊透通,因此資安防護對於智慧製造來說,非常重要。 \n搶攻智慧製造資安防護應用 COMPUTEX「智慧資安主題論壇-智慧製造」29日台北登場隨著科技的進步,智慧化生產已成為製造業的成長進行式。如何運用更好的物聯網設備、更快的網路、更精準的應用服務來完善與落實不同產業的「智慧製造」,已然成為產業所關注的焦點。而除了相關基礎建設或應用服務之外,也越來越多人同時注意到資訊安全在智慧製造場域中的重要性。 \n過去談及資訊安全時,經常聚焦於生產設備或基礎設施等環境的操作與資訊的安全防護,然而運營智慧製造產線的過程中,除了硬體,也有許多軟體或技術的資訊安全值得被重視與保護。有鑑於此,經濟部工業局新興資安產業生態系推動計畫特委託台灣雲端物聯網產業協會-物聯網資安SIG執行,台灣物聯網產業技術協會、台北市電腦公會協辦的「智慧資安主題論壇-智慧製造」,將在COMPUTEX第二日(5月29日)14:00-17:00假台北世貿一館第五會議室,以製造業之IT與OT資安防護為主軸,舉辦「智慧資安主題論壇-智慧製造」論壇,邀請台灣資安業者及潛在需求場域共同研討分享,一起掌握智慧製造的資安關鍵。 \n從物聯網設備資安驗證切入 確保智慧製造設備資安從頭到尾都全面安全主辦單位表示,「智慧資安主題論壇-智慧製造」特別邀請日本CCDS(Connected Consumer Device Security Council)策略顧問伊藤公佑先生(Mr. Kosuke Ito)分享日本物聯網資安推動政策現況,日本CCDS是在2014年成立,主要是針對各種物聯網相關設備應用場域資安進行規範,會員超過170家企業,重點企業包括Deloitte、Hitachi、JVC Kenwood、OKI、Omron、Synopsys、Fujitsu、Canon、Murata、Panasonic等。 \n此外,也將邀請到趨勢科技、尚承科技、互聯安睿、工研院、力旺電子等資安業者與技術研發者,分享高科技產業之智慧製造場域所面臨的資安問題與解決方案,並以「保護你與客戶的重要生產資料」為主題,進行對談與分享,現場並安排技術介紹與媒合洽談,歡迎有意導入智慧生產的製造業夥伴、期望切入智慧製造領域的資安或系統整合炒廠商共襄盛舉!

  • 「境界」之外!南山資安爆七大疏失 遭罰240萬

    金管會今(17)日宣布,因南山網路投保旅平險、以及系統資安政策、管理細節等有缺失,開罰240萬元。南山人壽新系統「境界」改善問題尚未解決,甚至還有可能再被開罰,未料先因資安檢查被抓到違反《個資法》等缺失,又被開罰,近兩個月來,南山已吞下3張罰單,累計罰鍰1020萬元。 \n \n據了解,這次開罰與「境界」改善案無關,金管會保險局列出南山人壽七大缺失,限期1個月改正,並罰240萬元。 \n \n保險局列出的缺失包括:網路投保旅平險業務,有未進行客戶姓名檢核作業情況;應用系統安全管理作業手冊及各應用系統開發手冊等規範內容有欠完備,不利確保應用程式變更的正確性及系統維運安全;委外進行資安網路監控,但有延宕情形,且沒有建立非屬重大資安事故事件處理程序,同時在行動App維護管理上,沒有在內部規範中明定定期檢測、密碼變更、備份等事項;網路投保個資沒有進行管控,竟可以複製到個人電腦;將正式作業主機的個資檔案及資料庫,複製至開發測試主機作業時,有未去識別化情形;電子商務系統涉及個資的安全設計,沒有適當的隱碼顯示。 \n \n同時,保險局認為有4項缺失恐有礙健全經營,包括:資訊安全政策是由總經理核定施行的「資訊安全準則」,未提報董事會;對於應收集、監控的系統稽核軌跡或日誌紀錄(log)範圍尚未明確規範,也未就安全性資訊與事件管理平台監控所發現異常事件的後續處理程序,明確訂定於系統稽核軌跡或日誌紀錄的相關內部管理規範;對資料庫存取授權管理欠妥,沒有落實最小授權原則;電子商務系統有部分安全設計項目,未符合所訂內規的安全要求。 \n \n除了1個月內改善相關資安問題,金管會已下「最後通牒」,要求南山在6月底以前,完成「境界」改善,並要求有第三方公正單位進行檢測,否則不排除再次開罰。

  • 《航運股》強化資訊安全,高鐵汰換資安疑慮設備

    2018年底傳出市場有部分廠商的通訊產品可能有資安疑慮,台灣高鐵(2633)依據國家通訊傳播委員會(NCC)之網通通訊設備規範,全面盤點、清查各項資通訊設備,結果顯示高速鐵路關鍵基礎設施均無使用有資安風險的設備。但台灣高鐵表示,仍以更高標準,針對一般通訊設備列冊管控,並定期追蹤,預計於今年底前完成全面汰換有資安疑慮之一般通訊設備,務必確保高鐵各項設備均未曝露於資安風險下,以強化資訊安全。 \n \n 台灣高鐵強調,鑒於高鐵建設是民眾仰賴的重要交通運具,更基於國家關鍵基礎設施的防護責任,現已針對具資訊安全疑慮的資通訊設備,主動完成全面清查,並通報行政院備查。後續亦將配合行政院4月18日公布「各機關對危害國家資通安全產品限制使用原則」行政命令及各項後續措施,以確保高鐵營運資訊安全。 \n \n

  • 蔡政府的資安狂想

     蔡政府一方面以國安為由,宣稱要公布有資安疑慮的「黑名單」,但一方面又拋出強烈推薦使用的「白名單」,表面是封殺陸資產品,但不能說的祕密是,力推「白名單」,該不會是為特定廠商護航吧。 \n 陸資3C產品是否涉資安,並未有明顯證據,今年初卻宣布禁用華為等陸資產品,不僅企業界反彈,認為是開市場自由化倒車,從中央到地方機關及工研院等政府財團法人,也出現不少異聲。 \n 民間企業可以不甩蔡政府的逢中必反情結,政府機關卻不能不從。據說國營事業、半官方財團法人及地方中心反對聲浪不小,甚至有地方政府、國營事業搬出政府採購法示警,推遲配合。原定3月出爐的陸資產品黑名單,一再延宕,本月中政院又公布「各機關對危害國家資通安全產品限制使用原則」,納入規範產品項目包山包海外,適用的8大關鍵設施建設領域連無關資安的電力、水資源、緊急救援與醫院等無一倖免。 \n 事實上,這幾年像華為等陸資產品,憑著CP值高,橫掃全球市場,儘管美國祭出資安理由,禁用華為等陸資資通訊產品及設備,甚至還要聯手德英等盟國跟進圍堵,但效果不好。德、英更在5G設備採購方面,明言不會禁止華為。 \n 蔡政府不會不清楚「市場才是王道」的道理。但蔡政府也清楚這些設施建設領域的政府採購,即使地方政府財政有限,但也是動輒百萬、千萬、上億。如今政院大張旗鼓炒作陸資產品涉資安,另一手卻力推強烈推薦使用的「白名單」,形同為特定廠商暗渡陳倉,個中貓膩不言可喻。

  • 護資安 黑名單外另推白名單

    護資安 黑名單外另推白名單

     行政院打算在7月推出資安產品「黑名單」,政務委員唐鳳昨天透露,行政院資通安全處另研議「白名單」計畫, 未來更核心,或更關鍵的基礎設施,將強烈推薦使用「白名單」產品。 \n 核心設施 強烈推薦使用 \n 政院本月公布「各機關對危害國家資通安全產品限制使用原則」,並計畫在7月中旬公布產品「黑名單」。唐鳳說,資安處還有一個「白名單」計畫 ,也就是針對類似連網攝影機等物聯網裝置,未來不是「負面表列」哪些東西不推薦使用,而是反過來,強調經過測試哪些東西推薦使用較無資安疑慮,但這項「白名單」計畫才剛開始。 \n 她補充說,連結網路的攝影機,也就是IP Cam,是由經濟部工業局與台灣資通產業標準協會一起做規範,雖然目前尚未進入標檢局檢驗程序,但都在討論中。經濟部工業局公告的「IPCAM資安產業標準及檢測規範正式版」,就包括資安標準及怎樣驗證確保產品符合資安標準。 \n 屬建議性質 不具強制力 \n 外界好奇政院手握「黑名單」、「白名單」,未來如何搭配運用,唐鳳說,「黑名單」是以行政規則的方式不推薦大家使用,「白名單」則是建議性質,並沒有強制力,但未來白名單會越來越多,這是大略方向。 \n 唐鳳並說,目前已有超過20項的物聯網裝置會放在「白名單」測試裡,希望未來能發揮引導作用,雖然是引導性質,但未來更核心的或更關鍵的基礎設施採購時,就會「非常強烈推薦」使用白名單裡的產品。 \n 她表示,白名單計畫由於實際通過測試的量還沒有很大,所以只是大致方向,但她日前訪美時,有在大西洋理事會(Atlantic Council)分享此一作法,普遍獲得各國肯定。

  • 工商團體狠批:「此地無銀三百兩」

     行政院19日所公布的《危害國家資通安全產品限制使用原則》,雖然避開了「中國、陸資、大陸」等字眼,然而,工商團體認為,是欲蓋彌彰、典型「此地無銀三百兩」,更是多此一舉。 \n 工商協進會理事長林伯豐就指出,台灣的資通訊產業的技術能力全球知名,「難道會沒有防範的能力?」全球化的時代,難道就只有陸資產品會危及資安,其他國家就不會?如果防不了陸資,就能防得了其他? \n 他說,資安問題主要是在晶片、軟體如何設計,而不是產品出自那個廠家或地區,如果要防陸資的華為,難道就不用防美國的蘋果?況且,華為的產品比蘋果便宜20至25%,連德國都願意與華為合作,「我們為什麼一定要買貴的?」 \n 商總理事長賴正鎰也直言,避「中國」等字眼,不過是「此地無銀三百兩」,更是多此一舉,一切都是為了選舉。 \n 他說,既然限制對象是公家機構,只要內部行文「綁規格」就好,何必「大聲嚷嚷的公告周知?我看是選舉操作。」這麼光明正大的訂個辦法、原則,難道就不怕被其他國家反制? \n 工總常務理事陳進財則持中性態度指出,如果沒有針對性、不先入為主,只是為了資安的問題,訂定一般性的規範,比較公平、也比較讓人沒話講。 \n 但是,他說,如果有針對性、或是未來列出清單時,政府必須要證明為什麼列入清單的廠商或產品足以達到危害資安?必須要有根據,才能服眾。

  • 日本海事協會發表網路資安方法

    日本海事協會(ClassNK)日前發表「日本海事協會網路資安方法」(ClassNK Cyber Security Approach),載明如何確保船上網路資安的基本方法。與此方法一併發表的還有為新造船設計制定的「船上網路資安指導方針」(Guidelines for Designing Cyber Security Onboard Ships for newbuilding designs),結合了對船上網路資安措施的要求,也是該協會初次發表網路安全規範。 \n \n該協會表示,應對資安威脅是整個海事產業當前的緊急要務,此次發表的網路資安方法是以國際機構和海事組織規範為基礎,彙整成為協助船東、船舶管理公司等相關人員對船上資安採取適當措施的基本方法。 \n \n在此資安方法中,確保航海安全被視為最重要目標。為此,最優先事項是要確保支援船舶航行的操作技術(OT)系統及資訊科技(IT)系統的可取得性。為減緩資訊科技及操作技術的數位風險,該協會將提出均衡地結合各種實體、技術和組織方法的措施:例如在設計船舶和船上設備時結合資安設計,或在船舶服役期間建立管理系統等。 \n \n具體來說,該協會將網路資安控制措施分成不同層級,並從現行資安標準中,採納可適用於船舶上的要求,藉此釐清每個相關人員應對的層級並採取步驟。再者,鑒於船舶航行時,使用的資訊科技增加,以及因應資安方面的國際趨勢,該協會將會同專家分析最新資訊,為船上資安管理提出當前最佳的實務做法。 \n \n同時,該協會也針對船廠和船廠業主,為新造船設計發表了「船上網路資安設計指導方針」,以做為該協會網路資安系列的第一部分。此指導方針包括從為美國政府彙整的NIST SP800-53中採納可適用於船舶的資安措施,以及國際船級協會聯合會(IACS)的最新建議。已註冊該協會「My Page」服務的使用者,可透過該協會官方網站:www.classnk.com,免費下載取得上述指導方針。欲免費註冊「My Page」服務,僅須至該協會官網,並點擊「My Page」按鈕即可。 \n \n該協會未來將繼續發表各項指導方針和標準,進一步闡明執行網路資安管理的負責人員及相關細節,並將在近期發表針對船舶管理的「網路資安管理系統」,以及針對船用軟體的「軟體資安指導方針」,以做為該協會網路安全系列的一部分。 \n \nNIST SP800-53是由美國國家標準暨技術研究院(NIST)編製、標題為「聯邦資訊系統建議資安管制措施」的特別文件。

  • 自有核心技術 帕卡人臉考勤系統 資安有保障

    自有核心技術 帕卡人臉考勤系統 資安有保障

     研勤科技PAPAGO!(3632)基於長期對影像辨識核心技術的開發能力,與旗下子公司研勤智能ipapago共同研發AI人臉辨識引擎技術,並完全採用台灣本土高端電信及雲端儲存系統廠商之服務,資安處理上安全可靠;且為遵循我國個資法等相關法規範的要求,在AI人臉辨識引擎端採行獨特的去識別化及加密保護設計,縱使系統受駭,駭客亦只能獲取不具意義之數位電子符號,如此方能確保國人隱私及資安不受威脅! \n 研勤表示,目前坊間已經有諸多人臉辨識相關應用產品問世,然而許多應用開發商並無自主開發人臉辨識核心技術,只能透過鍵接其他境外人臉辨識平台系統去完成人臉辨識相關工作,此項差異,在產品外觀上或許消費者無從理解跟認識;然而,卻可能讓國人在不知不覺間臉部特徵等資訊在境外受到其他的濫用,甚至演變為危及國安層級資安事件。 \n PAKKA帕卡人臉考勤系統,係研勤科技PAPAGO! AI人臉辨識引擎所開發出的第一個應用產品,除精準掌握員工確實出勤狀態,避免傳統打卡鐘或感應識別卡等易發生代打卡等情事;就法規風險面考量,確保員工出勤紀錄能完全依據勞基法相關規範精確的記錄到分鐘為單位,同時將考勤記錄以數位化方式永久儲存,讓企業對於員工考勤管理大幅朝向「精確」的層次邁進。 \n PAKKA帕卡人臉考勤系統不僅免除員工上班需帶識別卡等拘束,系統介面採用直覺式操作流程,企業完全不須安排員工另行學習操作流程即可輕易上手!輔以全數位化資料系統,自動計算工時及出缺勤資料,甚至面對勞基法相關法規修正時,系統平台亦可自動調整相關計算公式,使企業不再費心在考勤薪資等數據的統計及計算上,讓員工及人資管理同享「便捷」優勢。且該項產品已獲政府智慧城鄉生活應用發展計畫認可成為推動勞資和諧平台一項重要平台建構技術工具。

  • 物聯網百花齊放 資安立法刻不容緩

     2019年物聯網發展延續2018年熱潮,從與AI、5G、雲端的結合,到數位孿生、數據經濟應用,乃至道德、資安、民主化的規範面等,更加聚焦於衍伸應用和資安基礎的建立。若以政策法規、市場需求與技術發展作為觀察指標,物聯網在2019年持續多元發展,應用上更為實務落地,為廠商帶來實質效益,也為城市帶來防護的能耐。 \n 近年大規模物聯網網路攻擊事件頻傳,各國逐漸由民間自主應對、轉為官方立法防護,例如美國即將問世的《物聯網設備安全測試準則》、歐盟預計於2019年通過的《數位安全法》、日本《通信事業法》修正等。廠商普遍對相關立法持正面態度,部分廠商也順應趨勢調整產品設計,讓民眾對物聯網應用更具信心。 \n 美物聯網資安 \n 由政府衍伸至民間 \n 美國2017年提出《創新發展與物聯網法案》,研擬物聯網主要程序架構和制定頻譜,近年持續就物聯網資安訂定法規,例如針對政府部門採購IoT裝置進行規範的《IoT網路安全促進法案》、由商務部建立機制並鼓勵廠商對其IoT商品的資安和加密,進行分級標籤認證的《網路盾牌法案》,以及美國國家標準暨技術研究院提出的《網路安全框架》,與即將問世的《物聯網設備安全測試準則》等。 \n 日本修法 \n 裝置安全為廠商義務 \n 隨著物聯網網路攻擊事件此起彼落,美國政府決定以法規防堵資安疑慮,例如加州在2018年通過的《裝置資安法》,相較於過往法規的鼓勵性質,該法明文規定要求聯網裝置製造商必須設立合理的安全措施,且每個裝置需配有1組獨一無二的預設密碼,或要求使用者於第一次使用前設定新身分認證方式。 \n 日本政府2018年底至2019年初,頻頻針對物聯網資安修法,原因或與2018年南韓平昌冬奧開幕式遭俄羅斯駭客攻擊,以及日本政府全力備戰2020年東京奧運有關。主管機關總務省在2019年1月底對《電氣通信事業法》進行修正,於2020年4月起要求聯網終端設備須具有防非法登錄功能,例如能切斷外部控制、要求變更初期預設ID和密碼、可時常更新軟體等,且唯有滿足標準、獲得認定的設備才能在日本上市。此次電信法調整也要求當非法登錄造成「3萬用戶超過12小時」或「100萬用戶超過2小時」故障時,營運商需將該故障視為重大事故向總務省呈報,違者將受到行政處分。 \n 此外,日本自2019年2月底啟動NOTICE計畫,允許國立情報通信研究機構人員可於監督下,嘗試以產品原廠密碼和弱密碼(例如123456或admin等)登入一般家庭的私人IoT設備,並把可登入名單交給相關網路服務商,提醒消費者保護該裝置。 \n 產業樂觀其成 \n 釐清規範細節 \n 政策制定和法規頒布往往牽動廠商動態,包括成本是否墊高、標準是否國際互通等,而法規政策也會對一般大眾造成影響,例如日本NOTICE計畫公布後飽受社會抨擊,認為政府試圖登入私人物聯網設備的行為,本質上與駭客無異,且蒐集的數據與名單恐引起另一波網路犯罪和詐欺。 \n 觀察此次物聯網相關資安法案規劃過程和結果,雖已將影響範圍從數位服務商擴大到產品製造廠,然資安是物聯網發展的關鍵,唯有透過政府和廠商共同讓民眾建立信任感,方能支持後續的持續應用。相較於2018年中旬《加州隱私法》制定後,造成科技大廠抵抗和遊說新法,多數廠商對物聯網資安法規普遍持正面態度。 \n 思科對美國國家標準暨技術研究院制定的網路安全框架,便認為其可為廠商提供一致標準,且協助辨識需管控的風險,也建議美國國家標準暨技術研究院發展隱私框架時,可大幅依循網路安全框架的制定原則,進而提高兩框架的相互操作性和包容性,包含蘋果、IBM、微軟、賽門鐵克與趨勢科技等在內的商業軟體聯盟BSA,也鼓勵成員就歐盟數位安全法草案展開相關產品、服務與流程的自我評估。 \n 全球物聯網資安法規雖陸續頒行,然部分內容尚持續補強中,對新法和現行計畫的替代問題、法規依循順序與未來認證計畫的認可範圍等,都是廠商未來適法調整重點。 \n 業者呼應政策 \n 針對源頭設計 \n 物聯網資安法規透露政府的重視,相關細則持續發展中,但就原則而言,頗有數位隱私不僅是數位服務商的責任,甚至需要做到源頭管理和裝置需具備獨一無二辨識性的意味,是以相關廠商也呼應政策進行產品調適,例如金雅拓Gemalto在2019年初發表新模組,將eSIM整合到Cinterion LTE-M IoT模組中,幫助AT&T用戶強化物聯網連接安全。 \n 在製造過程中將SIM深度整合到模組,有助於提高耐用性、耐熱性與耐振動能力,且eSIM可在物聯網解決方案長期使用的過程中,透過簡易更新持續加強安全性,同時內建防篡改機制,保護設備免受不斷變化的網路安全威脅,設備製造商也無需部署自己的安全生產設施。此外,該模組亦可添加嵌入式安全晶片功能,將數據存放在高度安全的資料庫中,僅限獲得授權的應用程序和人員共享,提供額外安全保護。 \n 達利思Thales的e-Security針對資料分析、資料收集儲存、通訊網路IoT設備等3項物聯網元素,發展個別資安對策,針對受保護的資料和系統,可限制為只有授權使用者和設備能存取,為使裝置能安全連接物聯網,每個設備都需1個特有的辨識憑證,其發展的硬體安全模組nCipher HSM,在IoT設備的製造和運作中內建硬體信任根(Root of Trust),提供更安全的系統環境並支援防護應用程式,讓製造商能使用加密處理、金鑰保護與金鑰管理,為每個設備提供獨一無二的ID。 \n 智慧城韌性應用 強化都市復原力 \n 鑒於氣候變化和自然災害帶來的影響日趨嚴重與未來的全球都市化趨勢,許多國家在5G和物聯網應用中,將韌性納為重要議題。例如北京在2018年底成為中國首個將「韌性城市建設」納入城市總規劃的城市,帶起一波舊房加固改造、新房風險防治的商業應用,高通也與智慧城市委員會合作,提供資金協助遭瑪麗亞颶風重創的波多黎各,在智慧交通與住宅、電信與IT基礎設施等領域重點發展,為物聯網於智慧城市未來發展聚焦新方向。 \n 韌性衡量指標與架構 \n 智慧城市韌性的提升,主要在強壯度和立即度,前者為當城市面對天災、恐攻、社經、能源危機等不確定衝擊時,將影響最小化的能力,後者則為狀況發生後復原時間。 \n 廠商動態與技術應用 \n 國際間提倡城市韌性發展的機構中,以洛克菲勒基金會發起的非營利組織100韌性城市(100 Resilient Cities,100RC)最為知名。該組織以成員面臨的挑戰和方向,歸納出「健康與福利」、「經濟與社會」、「基礎建設與環境」與「領導與策略」等城市韌性架構,以更彈性、更堅強、更能整合等特質,作為城市解決相關議題的發展主軸。 \n 1、急難防備 守護自然與人為資產 \n 在100RC提出的韌性架構中,與物聯網應用最相關的當屬「基礎建設與環境」,多聚焦於強化自然和人為資產。新創廠商如Jupiter和Coastal Risk等,透過感測器收集數據配合衛星資料及模型推導,將氣候變化風險資訊作為主要商品,提供百貨、購物中心和高級住宅建商等,以利其規劃地點、建材及因應措施。 \n 此市場形成的背後原因,一方面在於物聯網感測器的普遍應用,一方面也因氣候異常,過往的歷史天氣模型已不具預估性,投資者需更新更即時的工具,才能評估對土地長期風險。 \n 2、提升網路韌性 確保關鍵性服務 \n 在提升韌性應用上,持續且可靠的資訊交流、確保關鍵性服務的持續,相當重要,且與公共安全息息相關,例如美國急難救助網路管理局為了全面提升緊急通訊能力,打造專供初期應變人員使用的全國性無線寬頻網路FirstNet,以保障警察、消防隊員與緊急醫療人員等,在突發事件時能順暢溝通,並透過公私合作夥伴機制,2017年委由AT&T進行網路建設。 \n 由於公共安全災防寬頻網路能提供火災、洪水與犯罪等現場實時圖像,為後方決策者提供豐富準確的訊息,故為英國、澳洲與芬蘭等國的重要政策,也成為物聯網強化城市韌性的重要基礎。 \n 此外,系統和路況資訊可提供到達災難現場的最快路線。根據美國國家標準暨技術研究院公布的清單,2018年4月時僅有17款設備通過認證可於FirstNet使用,截至2019年2月已發展多達71款裝置,蘋果和三星等大品牌皆名列其中。 \n 結語 \n 產官攜手法規化 不讓IoT變危機 \n 網路攻擊事件影響範圍和損害越趨擴大,物聯網資安是所有垂直應用的重要基礎,政府訂定法規一定程度上也希望成為官方認證,如何讓消費者對產品產生信任感,使Internet of Thing不致成為Internet of Threats,將是政府和廠商共同面臨的課題。 \n 因應未來法規和趨勢,物聯網裝置相關廠商在產品設計階段,應加速導入隱私和數據保護技術,售後亦應提供定期遠端漏洞維護和管理,藉以達到雙贏局面。 \n 另一方面,在物聯網資安防護完善前提下,智慧城市的廣大商機將是廠商的兵家必爭之地,隨著氣候異常和天然災害頻傳,提升建築、社區乃至城市韌性將如買保險般普遍,而與現代生活密不可分的網路通訊,以及面臨災害第一時間作出反應的應急準備,將是物聯網可多元應用的領域。

  • 工業局攜手iThome 臺灣資安館助產業拓市場

     經濟部工業局鑑於資安議題日趨重要,為加速臺灣資安產業發展,與「2019臺灣資安大會」主辦單位iThome,於3月19日至21日在臺北國際會議中心共同規劃主辦「臺灣資安館」。該館配合大會所集結之百家國際及臺灣在地知名資安夥伴,透過人工智慧、威脅情資、大數據、數位金融、滲透攻防、機密保護、威脅防護及資安服務等八大主題,招募33家臺灣資安自主研發能量廠商參展。 \n 工業局推動資安產業發展成效顯著,2018年臺灣資安產業產值達新臺幣437.3億元,年增率11.1%,資安產業全力朝向2020年目標550億邁進。為加速國內資安產業發展,今年「臺灣資安館」更擴大舉辦,除了和以往相同邀請國內頂尖資安業者參展,特別加入情境試體驗設計,展示更多近期臺灣資安研發成果。 \n 今年「臺灣資安館」有「產業新創與國際論壇」、「臺灣資安廠商展示區」及「資安主題情境式體驗」三大特色亮點,集結工業局資安產業推動之成果,包含推動聯網裝置資安標準及檢測規範,目前共通過5家IPCAM合格檢測實驗室,3項合格產品取得認證標章。 \n 工業局配合政府新南向政策,特別規劃「ASIA CYBER CHANNEL SUMMIT」產品發表會,邀請泰國、馬來西亞、新加坡等超過20家資安產業系統整合商及服務提供商組團來臺參與。

  • 金融資安「紅藍大對抗」 金融聯隊將對抗駭客大隊

    金融資安動起來,金管會和行政院將聯手在11月舉行「金融防駭資安大演習」,由國內金融業組成「藍色聯隊」,對抗由國內外駭客組成的「駭客紅隊」,進行實戰演練,7、8月預計公布兩隊名單。 \n \n金管會主委顧立雄今(21)日下午參加2019台灣資安大會「金融安全論壇」開幕典禮時表示,近年駭客攻擊方式朝向全球化、專業化發展,金管會研擬今年11月舉辦「金融防駭資安大演習」,提升金融業面對資安相關突發狀況的實戰能力。其中,將從國內金融業選出「金融業藍色聯隊」,國外駭客和資安專家組成紅隊,進行實戰攻防,預計在7、8月公布隊伍成員名單。 \n \n金管會透露,紅隊將由行政院資安處找來國內外知名駭客、專家,藍隊則由金管會籌組金融界專業資安專責人員,並且事前會有模擬集訓。 \n \n這是國內首次金融業資安的「演習」,測試範圍包括網路銀行交易、網站、ATM環境等等,純網銀則因為目前還沒有開設,因此不會列入「金融聯隊」,名單會有多少家業者、多少名成員,都還未確定。 \n \n另外,顧立雄表示,為推動金融資安制度,金管會四大方針同時推進,首先,以降低業者經營成本為誘因,包括納入金融業者申報業務准駁考量、納為存保費率計提因素、讓資安做得好的銀行適用較低的存保費率等;第二,要求金融機構設立資安專責單位和主管,一定規模以上企業設資安長。 \n \n同時,要求各公會訂資安自律規範;第四,於去年底成立金融資安資訊分享與分析中心,建構金融業間的資安情資早期預警和通報分享機制,未來也將與其他領域及國際金融資安單位進行情資交換及聯防。

回到頁首發表意見