快訊

凱米颱風逼近!公路局盤點部署救災應變 首波警戒路段曝光

凱米來襲放颱風假?北市災防辦估2路線侵台 蔣萬安承諾:基北北桃整體考量

拜登突宣布退選 大陸外交部這樣回應

決戰南方:中南美洲資安攻防經驗

※如欲轉載本文,請與北美智權報聯絡

林昱均╱科技業分析師

安問題已成為全球產官學界的挑戰,多數攻防都在民主與極權國家,以及特定戰略性產業中展開,事實上,中南美洲在美中角力下也成為兵家必爭之地,當地的資安攻防如何?能給我們什麼啟示?

透過風險管理框架與雲端強化資安

拉丁美洲國家正在加緊努力應對日益增長的勒索軟體攻擊威脅,展現出防禦立場和積極主動的方法,以增強網路彈性和創新並保護重要基礎設施。像是哥斯達黎加和哥倫比亞等國的資安事件引發整個地區的強烈反應,即便這些國家的數位準備度不若已開發國家,且正處於製定全面網路安全政策的早期階段,但由 Digi Americas 聯盟及其拉丁美洲 CISO (資安長) 網路與杜克大學合作聯合製作的《拉丁美洲公共部門的網路準備:前線教訓》報告,點出該地區先進網路安全措施的發展,也讓我們能夠一窺當地狀況。該報告研究如哥倫比亞、哥斯達黎加、智利和巴拿馬的案例,以及評估國家政策回應策略是否有效,以及如何採用風險管理框架(RMF)與公有雲來加強網路防禦。

面對不斷升級的勒索軟體風險和提高資料安全性的需求,中南美洲政府官員認為加強公共和私部門的網路安全至關重要。儘管網路準備和回應方面仍存在差距,但從頭開始建立資安文化已取得重大進展,資安標準部分,中南美洲國家主要參考對象之美國國家標準與技術研究院 (NIST)網路安全框架 (CSF) 2.0被認為是一種多功能工具,該框架應可符合當地需求。調查結果顯示,中南美洲強烈支持導入風險管理框架,94% 的受訪者認為框架能夠強化政府與企業應對網路威脅的彈性,近四分之三 (72%) 的人已將框架納入其網路安全策略;而那些沒有將資源限制視為主要障礙的人,由於提高安全性的需求,對基於雲端的服務的採用也在增加。調查顯示,78% 的受訪者正在使用或計劃實施基於雲端的網路安全基礎設施,並將其視為加強數位防禦的關鍵因素。同時,產業也有許多聲音呼籲,政府應強制要求在合理的時間內報告網路攻擊,避免因疏忽與較弱的數位基礎建設而導致資安危機快速擴散。

一個主要的方法是各國在遭受攻擊後即啟動防禦措施,哥斯達黎加的案例促使該國宣布進入緊急狀態,並制定新的國家網路戰略。就哥倫比亞而言,向哥倫比亞立法機構提交兩項法案,目的在建立一個技術和專門的數位安全機構;另一個重要趨勢是國際合作的力量,拉丁美洲國家積極參與全球對話和夥伴關係,以加強網路安全措施。例如,哥斯大黎加與以色列、日本和美國等多個國家簽署諒解備忘錄,後者宣布計劃在2026年之前提供2,500萬美元的援助,建立網路安全營運中心,哥倫比亞也尋求國際合作,以有效應對網路風險。這項集體努力強調全球合作應對網路威脅的重要性。

哥倫比亞案例

近年來,哥倫比亞與中南美洲其他國家一樣,面臨日益嚴重的脆弱性網路威脅,如果沒有適當的安全措施來保護擴大的數位環境,數位化和網路普及率的激增會增加潛在漏洞和網路攻擊的可能性。事實上,哥倫比亞於2021年躋身拉丁美洲最常受到惡意攻擊的國家行列;2022 年12 月,哥倫比亞的醫療保健系統因資料外洩而遭受損失,包括用戶的敏感健康資訊數據,包括姓名、地址、社會安全號碼和醫療記錄……等等;2023 年 9 月,哥倫比亞網路服務供應商 IFX Networks 成為勒索軟體的受害者,大約 78 家哥倫比亞國家實體和 762 家私營公司受到此次攻擊的影響,其中包括衛生和社會保障部、該國司法部門和監管部門,這事件嚴重影響哥倫比亞政府的日常運作。例如,由於司法部門的門戶網站完全凍結,無法確定系統中的訴訟狀態,200萬例預定的法律訴訟被暫停7天;此外,線上服務也無法運作,這意味著由於醫生無法存取患者的醫療記錄,患者無法進行醫療預約或取得處方。

另一個發現是對網路攻擊的反應很慢,在網路威脅的複雜性中,快速且準確地偵測攻擊,並確定其來源一直是困難的,此外,哥倫比亞政府正在評估和遏制下游影響的複雜性,因為蔓延到互連系統的攻擊變得越來越難以追蹤,這些系統性回應缺陷顯示需要發展能力以減輕網路風險的重要性;因此,哥倫比亞導入NIST 2.0 框架。NIST 2.0 的新功能為治理功能,首先是「治理」功能的引入,它支撐著原始 NIST 框架的所有五個功能:包括識別、保護、偵測、回應和復原。

此外,政府也計劃透過更廣泛的立法制定過程,表明採取積極主動的方法,使哥倫比亞的網路安全治理更完整。整體而言,哥倫比亞當前的資安策略是投入內部能力建設,先安內再攘外,特別是針對威脅情報的能力提前佈局,這些作法目的在保護國家的誠信、促進數位信任並加強對網路攻擊的防禦,隨著哥倫比亞不斷推動數位轉型,遵守這些標準對於公共和商業部門的組織相當關鍵。

資安人才培育才剛起步

網路攻擊已經變得無所不在,影響著多種類型的系統,包括企業基礎設施到電子郵件、應用程式和私有雲端儲存的資料等等。因此,拉丁美洲的資訊長都對訓練和網路威脅意識不足,幾乎都表示擔憂,他們多半希望政府在其財政年度分配資金,為政府僱員配備網路安全工具和緩解網路安全風險的知識。

往下延伸,另一個重要議題是相關對勞動力發展和教育的關注,哥倫比亞、哥斯達黎加、智利和巴拿馬的受訪者強調擴大網路安全培訓計劃,並提高公共和私營部門網路意識的必要性,特別是對資安人才和文化的投資是一個基礎步驟,可以隨著時間的推移推動成熟度、彈性和風險降低,使組織和公民都受益;受訪者建議建立全面的培訓計劃和教育措施來解決這些問題,並建立一支強大的網路安全隊伍。透過增強人力資本,讓拉丁美洲國家可以更好地檢測、遏制網路事件並從中恢復,從而降低風險並提高整體網路彈性。在這問題上,數位美洲聯盟和杜克大學也為拉丁美洲各國政府加強網路安全措施提供數點建議:

(1) 人力資本投資:對人力能力建構的大量投資至關重要,全面的培訓計劃和教育措施將培養公共和私營部門的熟練勞動力,增強網路彈性並培養網路安全文化。

(2) 建立自願風險管理框架:需要一個自願風險管理框架,其中包括混合治理、國家網路安全事件回應小組(CSIRT)和特定部門的事件資料庫,這種緊密結合的結構可提高網路事件回應的協調性和有效性。

(3) 網路安全基礎設施和技術的策略性投資:對網路安全基礎設施和技術,包括雲端解決方案和安全軟體的持續投資至關重要,這確保網路安全措施的現代化並防禦新出現的威脅。

(4) 集中的網路安全管理和報告系統:建議建立集中的網路安全管理和報告系統,以確保對網路事件做出快速、協調的回應,集中管理可以更快地偵測、評估和解決網路威脅,而統一的報告系統則可以簡化跨部門的溝通。

作者:林昱均
現任:光電大廠財務分析師
學歷:國立政治大學 財政所
經歷:零售龍頭經營企劃分析師

四大會計事務所專員

延伸閱讀&電子報訂閱連結:

【詳細內容請見《北美智權報》358期;歡迎訂閱《北美智權報》電子報

延伸閱讀

VicOne 與 ASRG 提供汽車威脅情報網 助連網車輛移動安全

南亞與中華電信等合作 取得資安標準國際認證

iOS整合OpenAI將有資安疑慮 馬斯克揚言禁用蘋果裝置

中華資安 通訊產品奪下金獎

相關新聞

「川普太小」商標命運逆轉?美國最高法院2024年Vidal v. Elster案

美國律師Steve Elster在2018年向美國專利商標局(USPTO)申請「川普太小」商標,專利商標局認為使用到川普姓名卻沒有得到他同意,而駁回申請。但聯邦巡迴上訴法院卻一度判決,姓名條款違反言論自由保障而違憲。美國最高法院2024年6月作出判決,全體一致同意,商標法中的姓名條款合憲,沒有侵害言論自由。但對商標法與言論自由的關係,大法官們沒有共識。

《IP小辭典》智權警告函

當權利人認為其專利權、商標權、著作權受到侵害時,為了請求排除侵害,可採取寄發警告函給競爭對手的行動。寄發警告函是權利人為保護自身權利的正當行為,但寄發警告函本身也有可能成為觸法行為。為了避免權利人濫用權利,不當散發警告函給交易相對人或潛在交易相對人,因而造成競爭對手權益的損害,公平交易委員會特訂有《公平交易委員會對於事業發侵害著作權、商標權或專利權警告函案件之處理原則》,在寄發警告函前必須充分了解。

淺談全球設計法發展與保護數位與虛擬設計的政策–1: 澳洲與美國

全球工業設計保護制度正在發生輪廓變化,每年至少在一些主要國家/地區都會帶來重大更新。整體而言,這些變化走向更大程度的協調和國際規範的出現。2023 年,全球採用部分設計的實務已接近完成(中國和巴西已實現,澳洲也接近完成)。這也強化了目前顯而易見的全球趨勢,即保護設計的下一個前沿:獨立於顯示器的數位和虛擬設計,這種趨勢幾乎在美國之外的世界各地佔據主導地位。本文將分為兩期刊登,重點介紹 2023 年設計法的更新、數位及虛擬設計保護的一些重要發展,以及 2024 年值得關注的內容。

AI在藥物發現中的應用趨勢

藥物發現(Drug Discovery)迄今仍是一個困難、耗時、昂貴、且低成效的過程,若要縮短藥物開發時間,可以透過人工智慧(AI)工具加快速度,同時處理並簡化多個複雜的工作流程,使龐大的資料數據能轉化成真正的治療方法。因此,全球製藥和生物技術產業都在設法導入人工智慧技術,以加快市場發展。

亞洲最大生技盛會BIO Asia-Taiwan 7/24南港登場 規模再創高峰

生技業年度焦點2024 BIO Asia-Taiwan 亞洲生技大會將於7 月24 日至28 日於台北南港展覽館1館及2館盛大開幕。包含大會論壇、亞洲生技大展、一對一商機媒合會、公司展望說明會、主題研討會等五大活動,產官學研醫協力積極參與。其中亞洲生技大展之展館以產業上中下游區段劃分21個展區,共計20個參展國家地區、超過900家參展商、2,200個攤位,不僅再度突破去年規模,創造歷屆之最,更是全球三大指標性的生技盛會!

談多媒體著作的分散式創作過程而生之著作權議題

多媒體著作可由文字、圖畫、照片、音樂、影片、影像、程式軟體等元素所構成,而通常由數個人就不同類型的著作為創作,再由製作單位集結與編輯而成。涉及數個創作者的問題在於著作財產權歸屬的釐清不易。本文藉由智慧財產及商業法院111年度民著上更一字第3號民事判決所涉及的電腦遊戲著作,來討論相關的著作權議題。

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。