2022 臺灣企業資安曝險大調查 2022-09 KPMG 安侯建業 新聞來源： https://home.kpmg/tw/zh/home/insights/2022/09/2022-tw-cyber-risk-report.html 臺灣企業CEO 普遍對組織的資安有著高於全球平均的信心，為了避免企業「自我感覺良好」，協助臺灣企業找尋「盲斷層」突破盲點，KPMG 彙集資安各領域專家，發表2022 年臺灣企業資安曝險調查報告... 近期臺灣面臨地震活躍期的風險，而平時不顯露於地表的盲斷層又開始被民眾廣為討論。依據網路維基百科所述，盲斷層是指沒有破裂到地表，因此從地表看來沒有任何異狀的斷層類型。大部分在地圖上也沒有繪製出該盲斷層的實際位置，只有當發生突如其來的地震時才可能被人們所發現。而臺灣企業所面臨的資安風險，也有著相似的「盲斷層」現象。 KPMG 安侯建業透過CEO 2022 outlook 觀察到，臺灣企業CEO 普遍對組織的資安有著高於全球平均的信心，為了避免企業「自我感覺良好」，協助臺灣企業找尋「盲斷層」突破盲點，KPMG 彙集資安各領域專家，發表2022 年臺灣企業資安曝險調查報告，KPMG 資安曝險大調查針對六大產業，包括金融、半導體、電腦及周邊製造、電子商務、供應鏈核心及新創。透由報告發現台灣本土企業潛在資安風險，讓臺灣各產業能夠透過駭客的視角，全面性審視企業目前網路防禦現況是否充足、應變人力是否齊備。報告經抽樣調查60 家臺灣企業的平均曝險僅為C 級（70 ～ 80 分），通常具備一般技術的駭客就能入侵。 【2022臺灣企業資安曝險大調查】（即刻下載，掌握企業資安風險） https://assets.kpmg/content/dam/kpmg/tw/pdf/2022/09/2022-taiwan-cyber-risk-report.pdf 本調查主要發現： 1. 多數企業輕忽社群媒體所衍生的網路攻擊 大部分企業都擁有社群媒體的專頁，且員工也非常容易於社群媒體上暴露自己的公司聯絡資訊，導致駭客發動魚叉式精準社交工程時，成功得手機率大增。 2. 臺灣各產業資安人員能量均嚴重不足，企業資安人力亮警訊 臺灣企業在人力資源風險 (Human) 中，於「資安團隊戰力」相關成績顯示，資安人力缺口十分明顯。60 家受調企業中，經外部情資分析顯示，就可能有高達一半以上企業未配置 CISO或資安人員。 3. 供應鏈核心產業亟需加強網路防護 原物料、運輸等供應鏈核心產業，不僅在平均網路防護分數墊底，該產業更有高達近 50% 的企業落在整體排名的倒數 15名，網路防護亟待加強。 4. 金融業網路防護表現仍最佳，但面臨高度挑戰 金融業於各面向的平均分數皆取得優異的成績。但因金融網路犯罪利益巨大，讓金融業今日仍飽受內外部威脅與挑戰。 5. 導入並驗證資安國際標準，將顯著降低資安曝險 本調查發現取得國際資訊安全認證能顯著的提升資安能力，根據分析調查結果發現，在 60 家台灣企業中，其中有 21 家企業有取得國際資安管理標準認證。對比曝險分數可以發現，成績越高的群組，導入並驗證國際資安標準的比例越高。 < Previous News Next News >

工研院IEKCQM：搭AI大勢 2024年製造業產值預估成長6.47% 2024-06-12 工研院、IEK產業情報網 新聞來源： https://www.itri.org.tw/ListStyle.aspx?DisplayStyle=01_content&SiteID=1&MmmID=1036276263153520257&MGID=113061215151435354 臺灣半導體業受惠於AI議題帶動相關供應鏈需求強勁，全年發展持樂觀看待，預估2024年臺灣半導體產業將首次突破新臺幣5兆大關, 預計可達新臺幣5兆1,134億元，年成長17.7%。 工研院綜整國內外政經情勢，今（12）日舉辦「2024年臺灣製造業暨半導體產業景氣展望記者會」，發布2024年臺灣製造業及半導體景氣展望預測結果。預估整體製造業產值達23.1兆元新臺幣，年增率上修為6.47%。臺灣半導體業受惠於AI議題帶動相關供應鏈需求強勁，全年發展持樂觀看待，預估2024年臺灣半導體產業將首次突破新臺幣5兆大關, 預計可達新臺幣5兆1,134億元，年成長17.7%。 工研院IEKCQM預測團隊指出，隨著就業市場穩定、通膨緩降、供應鏈問題紓解，國際需求逐漸改善，全球製造業景氣已緩步回暖。在國際需求增加的推動下，國內民眾消費成長延續，民間投資意願轉強，輔以AI伺服器新商機及股市創高，我經濟表現料將溫和穩健。惟各國財政支持政策退場、地緣政治緊張、氣候風險加劇等因素，將持續對全球中長期經濟增長帶來挑戰，仍需審慎留意。 通膨降溫、國際需求回升，四大業別均重返成長 金屬機電： 高通膨、高利率政策的滯後影響、地緣政治的不確定性、中國房地產投資持續下滑，但基建投資需求仍在及製造業回暖，有利支撐產業成長。通膨、日圓貶值、地緣政治等不利因素延續，然訂單年增率已見回升、輔以新興產業應用帶來創新市場，預期產業景氣將緩步改善。預估2024年金屬機電業產值將成長1.92%。 資訊電子： 供應鏈庫存去化落底，全球手機、PC等終端消費性電子市場需求可望逐步反轉，車用電子亦於持續調整階段；輔以低基期因素，產業景氣展望正向。AI需求擴張，Al伺服器與邊緣AI終端裝置應用快速的發展，帶動半導體在AI、HPC先進製程的產能持續擴增以滿足市場需求，並推進電子零組件及材料產值成長。預估2024年資訊電子業產值將成長11.09%。 化學工業： 區域戰爭、OPEC+延長額外減產計畫，油價支撐石化產品價格，惟市場需求保守、中國新增產能市場競爭，限縮石化業成長空間。國際淨零永續趨勢，帶動臺灣石化產業朝向綠色製造、高值差異化商品、碳循環再利用技術發展。預估2024年化學工業產值將成長2.31%。 民生工業： 歐美品牌廠去庫存順利，通膨及升息限縮消費支出的效應緩步淡化，國際市場消費信心回升，通路與品牌商下單意願轉強，有利紡織產業逐季復甦國際觀光客回流、就業市場持續改善、股市創高帶來的財富效應，帶動外食、旅遊、休閒娛樂消費，在高基期下，民眾消費意願續強，支撐我民生工業成長。預估2024年民生工業產值將成長4.33%。 資料來源：工研院產科國際所（2024/06） IEKView：國際三大趨勢成形，建議鞏固AI時代下的半導體技術優勢、以科技建構韌性社會、並打造臺灣成全球高科技生產管理/研發基地 工研院觀察，現國際有三大趨勢已然成形，成為2024年影響臺灣製造業發展的關鍵： 第一，萬物皆AI 時代來臨，AI帶動半導體產業先進製程需求。 晶片技術高速演進，促進了AI、下世代通訊等新興科技的崛起與普及，為各行各業的創新應用帶來了強勁驅動力。隨著AI正由雲端走向邊緣（Edge AI），加速「萬物皆AI 時代（AI for all）」來臨，臺灣憑藉半導體、伺服器、記憶體及其他ICT產業之國際競爭優勢，未來發展可期。 第二，世界風險前景惡化，影響社會可持續發展。 2024年世界經濟論壇（WEF）的世界風險報告指出，AI所生成的錯誤訊息和虛假訊息，為社會帶來了不確定性，為全球短期內最大的風險。報告亦歸納，環境變遷、科技化加速、社會人口成長分岔、地緣政治等4種結構性因素，將帶來更多不確定性及動盪的可能性。 第三，全球貿易結構重建，多點製造、在地供應同時發生。 國際間貿易集中度指數下降，意味著各國的貿易夥伴日益多元，海外（off-shore）分工更分散；另一方面，臺灣本土（on-shore）製造成趨勢。經濟部統計我國近五年（2019-2023）外銷訂單海外生產比，顯示傳產貨品外移、但科技類產品回流製造的兩極化現象。 面對此三大趨勢，工研院建議，因應急遽上升的AI需求，臺灣應從人才與新創培育、鞏固領先地位等兩大面向確保我國半導體產業在AI時代下的優勢。在人才新創培育方面，應建立人才循環方略及新創孵育作法；也需深化產業基礎科技，並發展AI輔助IC設計以尋求技術新突破，才能長久鞏固臺灣的領先地位。 在社會穩定發展的議題上，臺灣面臨多型態的風險衝擊，應嘗試透過新興科技技術強化韌性，從生產力韌性、基礎設施韌性及能資源韌性等三大應用領域切入。此外，為適應全球貿易結構重建，建議政府可透過：支持業界研發及進行人才布局、協助產業擴大外商合作、設立研發管理總部、切入國際供應鏈等四大路徑，將臺灣打造成全球高科技生產管理/研發基地。 對半導體產業最新觀察 工研院預測：2024年臺灣半導體產業發展持樂觀看待，主要因為通膨降溫，整體就業市場也趨於穩定，消費力回升，以及產業面的庫存調整大致完成，再加上AI帶動對半導體需求增加。 2024年臺灣半導體產業，預計因為通膨降溫及庫存回到合理水位，加上AI帶動相關應用產品對半導體的需求，預估2024年臺灣半導體產業將達新臺幣5兆1,134億元，年成長17.7%，優於2024年全球半導體成長的13.1%。 另外，2024年臺灣IC設計業因為通膨趨緩加上AI手機、AI PC需求，預計2024年將成長15.1%。而臺灣IC製造業也因為先進製程產出持續提升，DRAM價格回昇，預計2024年成長20.2%。臺灣IC封測業也受惠換機需求與高階封測需求，除了資本投資大幅成長，也布局晶片異質整合與高階封裝技術，預計2024年成長11.4%。 IEKView：2024年AI發展將從雲端走向終端，AI PC與AI手機將成為GAI普及的關鍵應用，臺灣半導體產業應把握此機會，佈局相關技術與產品 隨著ChatGPT風行，各大PC品牌廠於紛紛推出AI效能的PC，搭載神經網絡的處理器（NPU），將不需透過雲端執行運算，使運算速度更高效且低延遲，語音辨識、圖像處理等功能也更智慧化。因此，AI PC占整體PC出貨量比重，預估從2024年占比二成將快速成長到2028年的占比八成。 除了AI PC之外，另一個重點是智慧型手機，由於智慧手機具備強大裝置端測算力、最多用戶及黏著度、完整應用生態的三大優勢可用於驅動GAI發展，AI手機占整體智慧手機出貨量比重，預估從2024年占比二成快速成長到2028年的占比七成。 此外，終端產品對高效能的需求也推動半導體封裝技術朝高密度互連發展，除了2.5D/3DIC等封裝技術外，在成本與效能的優勢下，也驅動扇出型封裝延伸至面板級載體。透過強化晶片異質整合與高階封裝技術，以滿足裝置端AI的終端高效能應用。 (以上即為全文閱讀) 工研院IEKCQM：搭AI大勢 2024年製造業產值預估成長6.47%.pdf < Previous News Next News >

WSJ：中國駭客侵入美國政府監聽系統，恐構成國安風險 2024-10-08 科技新報 新聞來源： https://infosecu.technews.tw/2024/10/08/china-hackers-break-into-us-government-surveillance-systems/ 《華爾街日報》(The Wall Street Journal，WSJ) 10月5日報導，中國駭客入侵了美國寬頻系統供應商網路，從法院授權的美國聯邦政府監聽系統中竊取了敏感資料。 《華爾街日報》引述知情人士表示，遭到入侵的美國寬頻系統供應商包括威瑞森通訊公司（Verizon Communications）、美國電話與電報公司（At & T）和流明科技公司（Lumen Technologies）。 報導說，遭到駭客入侵的是這些電信公司與美國聯邦政府進行法院授權的監聽和資訊攔截合作的網路基礎設施，而且中國駭客可能在長達數月時間內一直得以自由進出這些系統。報導說，其他的網路通訊資訊可能也被駭客入侵了。 《華爾街日報》引述知情人士指出，中國駭客此舉有可能是為了取得大數據或進行網攻。而被駭客入侵的系統是用來配合美國聯邦政府根據法院授權進行刑事或國家安全方面調查的相關國內通訊資訊。 消息人士表示，調查人員目前仍在對不久前被發現的此次網攻行動的規模、駭客瀏覽內容以及外洩資料的程度進行進一步調查。但是目前無法確認涉及美國在海外進行情報監控的系統是否也一併遭到入侵。 中國外交部星期日在回應《路透社》置評要求時表示，它不清楚《華爾街日報》報導的網攻一事，但強調美國過去曾「炮製虛假敘事」來「抹黑」中國。 「在網路安全成為全世界所有國家一個共同挑戰之時，這種錯誤做法只會阻礙國際社會透過對話和合作，共同應對這項挑戰的努力，」中國外交部在發給《路透社》的一份聲明中辯稱。 有關中國駭客對美國及其他國家發動網攻的報告和報導層出不窮，但是中國政府一再否認美國政府和其他國家的指控，否認中國政府利用駭客入侵其他國家的網路或電腦系統。 《路透社》曾聯絡威瑞森公司、美國電話與電報公司和流明科技公司就駭客網攻一事尋求評論，但是沒有收到任何立即的回應。 《華爾街日報》在報告中指出，這次針對美國寬頻系統供應商實施網攻的是一個中國以收集情報為主要目的的駭客組織。美國的調查人員曾經給這個駭客機構取了個「鹽颱風」的綽號。 上個月，美國執法部門曾宣布挫敗另一個名為「亞麻颱風」（Flax Typhoon）的中國主要駭客機構的網攻企圖。這個駭客組織被控侵襲擁有20多萬個伺服器、相機和各種消費性電子設備的網路系統。 今年2月，美國政府宣布成功瓦解另一個受到中國政府資助、名為「伏特颱風」（Volt Typhoon）的中國駭客組織使用惡意軟體潛伏藏身在美國通訊、交通和水利等重要基礎設施的企圖。 不過中國外交部在發給《路透社》的聲明中稱，中國的網路安全機構已經發現並公開的證據顯示，「伏特颱風」根本就是「一個國際勒索軟體組織」演出的鬧劇。 《華爾街日報》引述一位知情人士的話說，美國政府認為這次駭客入侵事件的嚴重程度歷來少見，並且有可能構成國家安全風險。 （本文由 美國之音 授權轉載；首圖來源：shutterstock） https://www.voacantonese.com/a/chinese-hackers-breached-us-court-wiretap-systems-20241006/7812372.html < Previous News Next News >

台灣智慧安防工業同業公會 公會講座活動花絮 請點選相簿放大觀看 S__59613410 S__59613409 69764 S__59613410 1/12 DSC_3429 HS (112) 20201020_201020_6 DSC_3429 1/46 2020/12/18 邊緣 AI 運算於行動影像之應用 & 資安議題下的後海思時代、區塊鏈下談安防產業上鏈 講座 IMG_9185 IMG_9188 IMG_9181 IMG_9185 1/7 110.3.26 S__14557246 S__14557251 110.3.26 1/6 2021/03/26 AIoT安防新視界 講座 2021/06/23 智慧安防AI技術落地應用 線上研討交流會 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 人工智慧與深度學習於視訊監控之十八項武藝講座 HS (112) HS (111) 20201020_201020_6 HS (112) 1/46 2020 1016 公會辦公室啟用酒會 擷取 IMG_9188 IMG_9185 擷取 1/8 2020 1023 崛起於危機之中-談企業情境規劃講座 2021/07/22 線上第一屆第一次安控設備 資安技術暨介接標準委員會 2021/07/29 SECPAAS資安服務模式 與企業資安評級介紹 2021/08/11 門禁系統廠商意見徵詢 線上會議 2021/08/12 SECPAAS資安工具服務 線上體驗活動 2021/08/20 第一次門禁系統資安標準 制定草案小組 2021/09/03 第二次線上門禁系統資安 標準制定草案小組 2021/09/16線上 安防AI技術 與解決方案實務應用交流會 2021/09/23 第一次門禁系統資安標準 制定專家審查會議 2021/09/24 興創知能產業AI落地實證 與擴散會議 2021/10/04 昇銳電子產業AI 落地實證與擴散會議 2021/10/20 第二次門禁系統資安標準 制定專家審查會議 2021.1223安防產業趨勢發展研討會 謝君偉-人工智慧新發展應用於安防之未來 趙緝熙-建構資安的個資問題探討 2021.1223安防產業趨勢發展研討會 1/11 2021/12/23 安防產業趨勢發展研討會 1/10 2022/06/10 門禁系統資安標準認證-輔導 講座【第一部：一般要求】 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image 1/4 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600

如何準備門禁系統資安送審文件給驗證公司？ 2024-07-09 全球安防科技網 新聞來源： https://www.asmag.com.tw/showpost/12966.aspx? 台灣自2022年發布「門禁系統資安標準暨測試規範」後，取得相關認驗證成了門禁廠商的重點工作，而將產品送到TAF核可的實驗室進行資安檢測更是重中之重。 在現代企業和機構中，門禁系統已成為確保安全和控制人員進出的重要手段。為了確保門禁系統符合行業標準和法規要求，許多公司選擇將其系統送至驗證公司進行評估。準備這些文件的過程既需要仔細的規劃，也需要精確的執行。以下是如何準備門禁系統文件送審的指南。 一、確認驗證標準 第一步是了解並確認驗證公司所依據的標準和規範。目前在台灣，法國必維國際檢驗集團（Bureau Veritas, BV）是依據行動資安聯盟網站上面的IoT-2006-6 v2.0-門禁系統資安測試規範（6本）與IoT-2006-6 v2.0-門禁系統資安測試標準（6本），一共12本做為測試依據。 測試規範與測試標準的差別是在於，規範內明確定義了適用範圍、引用標準、用語及定義與安全等級等;而測試標準則是針對每一條規範提供更仔細明確的測試範圍、測試條件與測試步驟與結果等等。 門禁系統這一系列涵蓋一般要求、門禁管理平台、門禁閘道控制器、門禁讀取器、智慧門鎖與人臉辨識門禁裝置。而一個完整的測試範圍，除需各自符合單項的條文外，還須符合一般要求的條文。在大致了解整個測試框架跟範圍後，依循標準的要求開始著手準備送審文件，是確保門禁系統測試流程完整順利的基礎。 二、文件清單 第二步是準備好一份詳細的文件清單，這些文件應該涵蓋門禁系統的各個方面，並將其作文件編號，方便實驗室尋找相關文件。而關於內容的填寫，建議廠商可參考測試標準，其內都有涵蓋測試資料與測試方法，廠商可依自己公司產品的特性填寫與提供，而這些都是提供實驗室做為參考的依據。 三、自我審核與模擬審查 在正式提交文件之前，建議進行一次內部自我審核，模擬驗證公司的審查過程。這一步非常重要，但在實務經驗上發現，許多廠商都忽略了這一步的重要性！很容易覺得測試規範與標準所要求的功能已導入產品，但卻未做確認，導致送審版本其實未導入而不自知;或是條文要求要做測試，但廠商只有用文字說明，導致最後得到「不通過」的結果，無意間延長了取證的時間。 除了進行內部自我審核，實驗室這邊還建議廠商應將自我審核的步驟與截圖，製作成一份參考文件提供給實驗室。這樣不只可以減少往返溝通的時間，還可以提前發現並解決潛在問題，提升文件的準確性和完整性。 為了讓讀者可以更明白實驗室測試的流程跟方法，以下舉幾個例子說明文件準備的方向： 例1：一般要求－5.2.1.6異常狀態回復預定義機制測試 此項測試目的為「當產品無法正常維持使用者設定的運作狀態時，產品應可自動恢復為預定義狀態。」針對此測試項，送件廠商常犯的錯誤是：第一，廠商沒有給一個異常狀態的預定義;第二，廠商給的預定義是出廠值。如何定義此狀態，常常使廠商感到困擾，也是經常測試不通過的原因。舉例來說，如果定義是出廠值，那代表一旦產品產生異常就必須能自行回到出廠值。但就實務上來說，每次出現斷線、更新錯誤就回到出廠值，其實是不太可能的使用情境，因此廠商可以依各家公司產品的狀況來撰寫。 例2：一般要求－5.2.1.9安全敏感性資料禁用硬編碼測試 測試目的為「驗證產品之原始碼中是否存在安全敏感性資料。」可以從測試方法中發現，實驗室須對產品之韌體／軟體檔案進行拆解，如果往回看測試資料，就可以看到廠商須提供未加密的軟／韌體檔案，也須提供自行宣告的安全敏感性資料。這部分廠商常犯的錯誤，一是未提供未加密之檔案，二是未提供安全敏感性資料（例如金鑰或是產品的MAC），從而造成測試無法執行。 例3：一般要求－5.4.1.6備份能力測試 測試目的為「驗證產品是否支援備份功能，以防止失效或錯誤設定時可恢復正常狀態。」因此能從測試方法中發現，產品必須要能達到備份與還原之功能，而實驗室必須測試此功能。而在實務經驗上，以讀取器與閘道器等作資料擷取的門禁系統機器，是需要透過第三方的軟／硬體才能達到備份與還原的效果。但廠商常常在送測的時候並沒有提供相關設備與測試流程文件，導致測試無法順利執行，進而增加溝通的時間。 從上述三個例子讀者可以發現，實驗室的作法與準則是跟著標準走。如果廠商在送測前，能夠先進行自我審核與模擬審查，便可及時發現問題並進行改善，以減少與實驗室反覆溝通的時間。 四、文件提交與跟進 最後一步，是按照驗證公司的要求格式和方式提交文件。在提交文件的時候，須將不同的文件與其對應的標準明確標示。再則，如文件在送審後有做修改，建議用「顯目的」標記（如紅字、黃底等）標出。並在提交後，持續跟進審查進度，及時回應驗證公司的反饋和問題，以確保整個審查過程順利進行。 通過這四大步驟，廠商可以更好地準備門禁系統文件，確保其符合驗證公司的要求和標準，順利通過審查。仔細的準備和積極的配合，是確保門禁系統獲得資安認可的關鍵。 < Previous News Next News >

第一屆第三次理監事聯席會議紀錄 2020年11月11日 下午6:30:00

AI全面來襲 顛覆性變革全面剖析 2024-06-05 工商時報 新聞來源： https://www.ctee.com.tw/news/20240605701496-431202 我的工作會不會被AI取代？國際貨幣基金組織（IMF）研究報告指出，AI 可能對約 60% 的工作職位產生威脅，也有可能導致招聘人數減少和工資下降。 當代法律雜誌於5月17日舉行研討會，邀請各界專家現身說法，剖析AI 對於各行各業的影響， 認為AI 的發展就像是兩面刃，工作者處理的任務若跟 AI高度重疊，就需要擔心AI 帶來的衝擊，若能善用AI，將能為「夢想家」補足劣勢，「凡人」也能站上高峰。 在這個機器智慧綻放如花的時代，AI就像是撰寫未來的詩人，每一片晶片，都承載著無限的可能。技術發展如同詩的創作，要對生態保持敬畏和愛護，讓創新不僅令世界更聰明，也變得更溫柔。台灣科技法學會理事長劉尚志說， 這樣的描述非常的溫暖，生成式 AIchatgpT有個特性，不同的人問同樣的問題，甚至同一個人在不同時間，問同樣的問題，答案都不一樣。 人類的智慧在AI的發展中得到了延伸，能力和想像力仿佛被放大了。AI幫助解決了許多過去被認為是不可能解決的難題，也帶來了一些從未想過的問題和挑戰。劉尚志說，AI影響非常大，各行各業都有各方面的考慮，不管從倫理道德或法律制度層面，挑戰己來到面前。隨著AI的發展，需要思考如何確保它的使用符合人類的價值觀和道德標準。是否會變得太過依賴AI？是否會失去我們自身的創造力和判斷力？不能讓科技的進步超過道德進步，這是值得深思的問題。 AI發展已經面臨到一個轉折點！萬國法律事務所資深合夥律師黃帥升說，AI己經學會說謊了，有報導指出，原本設計為誠實不欺的AI系統，已經發展出欺瞞技巧，例如欺騙線上遊戲的人類玩家，或說謊以僱用人類來解決「我不是機器人」的驗證。科技公司OpenAI的Chat GPT-4系統謊稱自己是一個視力受損的人，在零工平台TaskRabbit上聘用一個人類替它通過「我不是機器人」驗證任務。面臨這個轉折點，可以發現AI已經超過人類想像。這也是今天活動的源起。 不管是天上飛的、水中游的，或地上跑的，AI在各行各業帶來前所未有的改變。臺灣上市櫃公司協會榮譽理事長蔡榮騰說， 2000年的時候，臺灣有一家公司發展3D影像軟體的公司，讓電影動畫製作拍攝變得更簡單，這樣的軟體就可以取代3D動畫，節省了很多成本，卻讓很多工作消失了。談到AI，除了資安，就是耗電的問題，雖然政府承諾絕對不會缺電，但停電沒有保證，因為2015年停電哦1萬5千次，目前降到一半，但每一年大概平均還有7千次上的停電。此外，中小企業面對另一個殘酷的事實，到哪裡去買足夠的綠電，如何達到淨零排碳，綠色用電及民生耗電量如何節約，都是很重要的議題。全球科技戰已然開打，臺灣技位居術領先，但隨著新世代技術問世，該何去何從。還有金融業界現在頭痛的詐騙問題，都是法律的挑戰，也期望新內閣能有應對政策。 AI是地緣政治的新戰場 「AI 及半導體已成為地緣政治的核心，過去50年全球爭奪的重點是石油，未來50年晶片就是新的石油。」藍濤亞洲總裁黃齊元說，由於台積電是全球最大晶片製造商，台灣更處在地緣政治的漩渦。台積電全球晶圓代工市占率高達百分之六十，高端晶片市占更高達百分之九十，美國又不願意把這個半導體繼續留在臺灣，積極打造半導體供應鏈，甚至希望台積電加碼投資到1000億美元。但由於在製造部分，美國有先天不足後天失調的限制，因此要求台積電前往日本及德國市場投資佈局。 AI帶動相關各股大漲。黃齊元說，為了減少對第三方晶片依賴，微軟、Google、Meta、亞馬遜正積極投入自研AI晶片，具有技術掌控、數據安全及創新潛能等優勢，台積電幾乎壟斷了相關訂單，相關產業鍊廣泛受益，台灣AI伺服器代工廠包含廣達、緯創、仁寶、緯穎都是受惠者。 AI橫空出世，改變一切，2024奇點時刻將屆。黃齊元說，從AI到AGI，機器人統治人類的年代可能到來，AI將變得無法駕馭，目前AI驅動的瞄準器和無人機已進入加薩戰場，成為新銳戰爭武器， AI能加速戰場決策，透過「機海戰術」癱瘓敵人，需要更嚴格監管新型攻擊/防禦技術的使用。AI是地緣政治的新戰場，台灣則處在AI角力的核心，更值得深思的不只是戰爭，還有假新聞。 AI賦能，影響力投資用投資改變世界 聚焦SDGs，影響力投資用投資改變世界，社會及環境造就正面的、可衡量的影響力，也創造利潤的投資。國泰金控投資長／亞洲投資人氣候變遷聯盟主席程淑芬說，許多新興市場，如印度幾億人口，這麼多的人口，幅員遼闊，如果能善用AI等科技工具加速、擴量、提升效率，藉由大面積、遠距專案，嘉惠大量人口，將能讓影響力快速普及。 「目前全世界現在已經有非常多慈善創投，許多影響力投資的案子做的非常好，若能對於社會跟環境產生正向影響力，同時創造獲利，利益並舉，行善致富，影響力投資可以解決許多問題。」程淑芬說，日本就有跨國微型金融公司利用AI工具分析增進客戶信用品質分析，維護 資產品質、降低互保，透過在地經營將微性金融拓展至印度、柬埔寨、肯亞等國家 。也影響力創投與VillgroAfrica合作，輔助遠距放射學平台，利用AI深度學習，分析媒合最專業醫生，建立非洲的公平健康創新生態。TDK創投投資Fasal，利用AI數據分析助印度農民降低種植成本、提升作物質量。而台灣的悠由數據智慧農業跨國服務，藉由數據驅動的農業數據平台，不需建置任何感測器設備，在應用程式中直接監測作物生理狀態， 就很適合協助東南亞國家解決農業挑戰。 「與影響力投資相關的專案不是太小，就是太早或太弱，但隨著AI賦能，許多之前不太知道是否可以支持的案子，其實都是有可能性的。」程淑芬說，許多新創就是「科學天才，營運天真，財務天兵」，在管理缺乏陪伴跟指導，缺錢了才要來找錢，國泰就是很希望有這些好的案子，陪他們走一段，藉由資金的奧援，協助其提升管理跟技術，未來就會有機會變成可借款可投資，目前國泰在商業的保險市佔是兩成，微型保險在臺灣市佔率大概三成，一點一滴，邊學習邊擴大，也期待有更多的金融機構一起來關心這些好案子。 人工智慧基本法促進相關產業發展 AI快速發展為臺灣帶來機會，也帶來挑戰與風險。人工智慧法律國際研究基金會兼任研究員／臺灣上市櫃企業法務主管廖偉翔說，由人工智慧基金會匯聚學界產業界各界精英，拋磚引玉，起草人工智慧基本法草案，參酌歐盟、日本等AI相關草案、立法，將其精神納入草案，希望促進我國人工智慧產業發展，建構人工智慧安全環境，保障人民基本權利，增進社會福祉，提升國際影響力。 「此次為政策性立法，為框架性母法，為所有未來的子法做出原則性的訂定。」廖偉翔說，因為AI持續發展，不知道下個5年或10年演變如何，必須要利用彈性空間，讓主管機關及立法機關去引領未來的發展而制定相關的子法。 此次草案專注權利保障及產業發展，廖偉翔說，避免因AI擴大應用而生之負面效應，侵害隱私安全，侵害勞工權益，維持公平交易與保障消費者權益。也希望在科技風險與科技發展之間取得平衡，避免因科技風險控制而阻礙科技發展；也應避免因科技發展而造成科技風險失控。 此次草案有六大特點，首先，AI之研發及利用應以人為本，普惠人民及永續發展為目標。其次，AI應由國家主導政策並擬定發展計畫，落實人才培育、建立基礎設施及推動產學合作。國家高度主導之產業發展策略。此外，AI可能造成社會資源分配不均，政府應落實對於需要協助族群、勞工權益、及公平交易秩序之保護。因此也應該由強調社會公平與弱勢保障。再者，中國、印度、美國及墨西哥各國家都開始有所針對資料輸祭出許多管制，臺灣好像沒有什麼動作，為維護人民隱私權益，政府應對AI開發與應用所需之資料蒐集、處理及利用，建立必要的保護及監督機制。此外，政府應設置創新實驗環境，提供相關研發與利用之安全場域及實驗空間，以妥善評估創新技術之潛在效益與風險。政府應建立AI研發及利用之風險評估及監管機制，並依風險高低與程度進行適當管制，以平衡新科技之風險。 AI技術加持，實現精準醫療 「在醫療方面利用AI技術，帶來改變，我想這是肯定的。」臺灣大學醫學院耳鼻喉科教授／臺大醫院頭頸外科主任楊宗霖醫生說，以大家現今耳熟能詳的機器手臂手術為例，十幾年前導入時，病人疑問到底是醫生來手術，還是機器人手術，其實還是醫生動手術，只是藉由機器人的幫助。AI跟機器手臂一樣，都可以輔助醫生在做手術或診療時，更加精確，而機器手臂就像是一個軀幹，如果再加上AI就會變成一個有大腦的手臂，從影像辨識到手術過程的判斷與決策，在不斷的判斷與決定中，輔助醫生，讓手術更為精準，未來可能甚至可以模擬某個醫師的手術技術，執行手術，但是最後做這決定還是需要醫師來確認，每個步驟核實其正確性。 手術醫師大概是醫療領域最晚會被取代，最容易進入臨床運用的應該是影像辨識，在臨床上頭頸外科檢查頭頸部的資料，都需要邊做邊看去分辨，哪些地方不對勁，是否有病灶，現在利用AI進行影像分析，訓練教導機器，也需要輸入正確的資料，就如同臨床上如果要診斷治療正確，需要適當的訓練，才會得出正確的結果。除了臨床端，藥物研發、醫學影像反應，甚至基因定序，藉由AI針對大數據資料進行分析，精準醫療很快容易實現。 善用AI，為職涯加值 根據高盛的研究報告指出，AI 將會影響全球 3 億個全職工作。當代法律雜誌首席顧問劉奕成說，AI 能有效展現認知能力，在高附加價值服務行業如法律、計算和數學、及商業和金融的使用率較高，製造業導向的產業 AI 使用率較低，但目前也開始逐漸導入。 機器人或 ChatGPT 等 AI 技術擅長處理數據、寫程式的速度比人類快速，且資訊蒐集能力強，負責處理大量數據的工作，這將影響軟體工程師、數據分析師、金融或市場分析師等工作。此外，AI 擅長閱讀與理解文字，在製作報告與撰寫文章上都有不錯的表現，因此律師助理、內容創作者、老師等著重於文字、語言相關的工作也相對容易受到影響。 每個人都可以將自己想像成一家中小企業的老闆，將人工智慧想成自己的員工，從以前需要凡事親力親為，到變成管理底下協助自己做事的機器人。劉奕成說，一個電動車或者是無人的計程車駕駛，會讓駕駛的工作不見，但會創造很多新的工作，只是工作的內容會有所改變而已。以計程車司機為例，可能不是開計程車，而是變成後臺的中控中心的負責人，薪水反而增加。 AI 的關鍵在於強大的算力、優異的演算法、足夠多且高質量的資料源組成，但AI 再怎麼聰明有效率，人類還是會贏在跳脫框架性思考的選擇。若能善加運用 AI，以經驗判斷，校閱 AI 生成的成果，進行細部雕琢，擅長動腦不動手的「夢想家」補足劣勢站上高峰；躺平的「凡人」大幅跟上的重要契機。像有導演夢的人，如果能善用 AI，不用砸大錢，自己也能完成一部電影著作。 強社交、富創意之工作較不容易被取代 「從生成式 AI服務問世以來，不斷地有議題探討律師是否會被AI所取代。」萬國法律事務所合夥律師洪志勳說，這點或可以從社交程度的強弱，工作類型是優化或創意決策型來加以判斷。如果工作內容跟人的社交互動程度低，且工作內容偏向單純將現有的成果優化，包括資料整理或資料分析，就要特別注意，因為這就是AI所擅長的領域，對應到事務所的各項職務，要讓自己的未來的工作不會被輕易被取代，可能就要朝向強調是跟人緊密互動的高度社交工作內容發展，且該工作內容應具備富有創意及決策的要素，例如，與事務所客戶探討未來併購的標的，並協助客戶在現有的併購標的分析資料中，挑選出有利於客戶的未來併購建議。 「目前AI的發展的限制，就是 AI是建構在大數據上，透過大語言模型作分析作，本身並沒有創造力，只能基於既有成果上學習，再生成類似現有成果的作品。」洪志勳說，若不希望未來工作被取代，本身就要是有創意的人，以事務所業務來看，法遵業務跟專利檢索都需要經過大量人力執行，如果可以透過好的AI系統，可以樽節許多人力，這種工作可能很容易被取代。至於訴訟業務、跨國交易、併購協商談判或撰擬契約或法律意見由於與社交程度較強，甚至會創意及決策程度較強，可能比較不容易被取代。至於撰擬契約或法律意見，很多的AI的產出結果正確性是有待商榷，洋洋灑灑甚至還能引經據典法律意見及判例，結果都是AI自己編造出來的。 「好的系統背後也需要一個懂得會操作的人，所以未來的就業市場就是勝出在能善用AI工具，達到的想達成的工作目的。」洪志勳說，如果希望AI精進成是一個法律的專才，或許可以考慮內部建置專用AI系統，用專業資料來餵養，才能建構出法律專才AI系統。 人工智慧監理需跨部會合作 根據金管會調查，我國共175家金融機構中，目前有63家採行人工智慧技術，採用率高達36%，其中台新金控、中信、臺灣銀行、玉山銀行及永豐銀行更已率先推部使用的生成式AI。文化大學法律系教授王偉霖說，從前臺的對話式金融智慧介面，到中臺的業務申請的准駁解釋文稿及後臺的會計自動化、舊軟體維護、資訊安全監控與強化、應用程式現代化、文件分析、財務報告生成、回應監管機構的檢查。AI可以提升銀行行政業務效率，亦可以透過追蹤、定位、個資、生成式AI主動方法、客戶服務互動體驗，檢測及預防詐欺。同時可以偵測並識別潛在風險與金融風險、分析多個來源的大量數據，創建更全面的貸款申請人財務狀況，管理風險並提高信用評分精準度。 AI透過大量數據資料及運算力，可以在極短的時間，快速執行指令。但若無妥善的設計與控制，當AI 代替人類執行而出現事先無法預期情況時，可能帶來極大風險。英國郵政局冤案就引發了AI運用的信賴危機。王偉霖說，RegTech借助科技之力，提供更好的身分辨認與認證機制平台，以區塊鏈協助法遵自動化並強化資安，利用AI更快速有效辨別詐欺活動，提醒消費者可能遇到的詐欺行為，即 時偵測欺或資料外洩發生的時間地點建立系統協助業者符合KYC和洗錢防制(AML)相關法規，進行交易的監理， 提供決策建議與完各項監理報告以符合政府法規，讓企業可以更好的落實法遵合規，所強調的是以人為本的科技應用。 目前RegTech在應用已 經從「了解您的客戶 」改變成「了解您的數據」。王偉霖說，在資源有限的狀況下，建議金管會RegTech可以從現在猖狂的詐欺活動著手，利用AI強化監理功能。人工智慧的技術具有高度專業，若有偏差，將影響甚廣，也是監理的對象。人工智慧能短時間處理大量資料，但需要更多人類進行最後把關，總體而言，效率是否能提升，仍有疑問。 金融監理之主管機關是否有能力檢查人工智慧，需要 進行跨部會合作。 把AI引進司法，應重視人機合作 臺灣高等法院法官邱筱涵說，關於司法審判運用AI，有人認為透過AI的協助可以減輕法官工作負擔，讓審判更有效率，且AI可以為一致性的判斷與決定，較不易出現歧異之情形，但也有認為，個案如果都以一致性來為判斷或決定，反而有失公平，且具體個案多有不同面向之考量，一致與正確之認定並無絕對之標準。上開觀點主要從AI之功能面進行討論，但就司法審判運用AI是否可行，宜從法官之觀點論之。 整體而言，法官對於人工智慧應用於司法實務多持正面肯定的態度。邱筱涵說，但也有法官對於人工智慧在法律上的應用較為保守或猶豫，主要是因為其認為審判過程非機械化之決定，人工智慧或科技無法顧及人性化的決定。擔憂的是審判會因為人工智慧之全盤介入而失去人性關懷。 「人工智慧協助審判仍應融入法官之觀點，且從人性關懷的角度」邱筱涵說，要把AI引進司法，重視的應該是人機合作，利用AI來改善司法的判決流程，提升審判效率，藉由AI形成判決例稿，或也有機會使判決更親民，使判決書文字更加易讀，但是最後做出決定的應該還是法官，法官在意的是，在科技支援審判同時，也不能忽略司法原有之的溫度與人性關懷。 審計會計可透過AI生態系統提升客戶服務品質 「有人擔心會計師審計師名列被AI取代風險最高的第9名，但是我個人並沒有這麼悲觀。」安永諮詢服務總經理張騰龍說，會計事務所或管顧服務工作一樣也是重社交，重決策與創新，這點是AI可能沒有辦法作到的。要實質了解客戶目前所面臨的挑戰與問題，或是客戶需求，都需要客戶的連結，所以只要自身有善AI技術的知識與能力，同時加入一家目前已經利用AI協助工作，提供客戶高標準高品質的事務所，未來的職涯成長絕對有無限的空間。 以安永為例，張騰龍說，多年前已經開始運用全球線上審計平臺及全球雲端知識平台協助全球客戶進行審計的數位轉型，將審計準則與查核程序整合於數位平台，改善傳統審計仰賴紙筆記錄查核程序與結果及大量樣本抽查，提高審計的品質及效率。 過去三年來，安永更加碼投資14億美元在人工智慧應用上，推出EY.ai平臺，利用領先的安永AI技術，在策略與交易、數位轉型、諮詢、審計和稅務服務上，透過AI生態系統來增強相關能力。由科技及商業連結到學術界，串聯數個龐大的生態系統，EY.ai平臺使用信心指數，提供全面AI評估與監測，此指數的指標使用了行業中領先數據包括風險、治理和數據管理，並以成熟度模型來輔助。此模型系統除了系統化地審查企業與市場、產業同行所處的相對位置，另有EY.ai價值加速器，有助確定計畫和解決方案的優先順序。 AI賦能，核保更快速 「人工智慧最可能影響到保險精算師。因為精算師的背景就是大量數據的統計跟精算，這些專業人士可能會消失。」倍安保險經紀人董事長黃志明說， AI可能為保險業帶來四大影響，首先是智能保險顧問，早期的保險顧問連費率都要翻本子，但現在的保險經紀人都有AI智能小幫手，在10分鐘內回答可以任何問題，包括繳費、扣款、理賠申請、險種特性、商品比較。再者是智能客服，以聊天機器人取代真人服務， 365天24小時都可以回覆客戶問題，不會累也不會失去耐心。第三就是智能理賠，能更精準地完成理賠作業，作業成本更低。 核保跟理賠都是有專業證照，核保員、理賠員要考國際證照，不是公司培養就可以，而且這種執照都是美國發出來的，例如 LIMRA 及 Loma。理賠核保的判斷更需要長期培養的專業素養，但在AI時代這種工作職掌該怎麼調整及運作，可能有待商榷。黃志明說，最後就是核保的效率，因為AI不用休息5分鐘就可以處理一個人三小時能處理的事情，就像疫情時的防疫險，或保險停賣效應，造成核保大排長龍，若有智能核保，應該就不用如此，保險公司這方面的人員配置也不用那麼辛苦，如果AI能夠在這四方面發揮作用，作業成本將大幅降低。 著作權保護與AI產業發展間取得平衡 從智慧財產的角度來看， AI的產生已經造成非常多的衝擊。資策會科法所副所長顧振豪說，2020年的DABUS案件針對AI系統是否可被列為發明人，引發國際實務審理兩面論戰。對此，2023年美國著作權局發布了關於AI生成作品註冊指引，強調作品需要由人類創作才能享有著作權保護。我國經濟部智慧財產局電子郵件第1120220號函釋，與美國立場亦同，認為在沒有人類參與，或透過人類下提示下所生成之作品，不受著作權保護，若內容與他人著作有實質近似之情形，使用者明知而另為商業使用，就有侵權疑慮。 僅管目前實務上還是會認定AI不能夠作為專利申請人，但也說明了AI的應用在許多層面都已經超出人類的想像。顧振豪說，在智慧產權部分，最常發現議題就是生成式AI從開發學習階段到生成利用階段資料探勘中，所運用到的資料，是否在著作權法第65條概括合理使用的範圍？生成的內容是否可受到著作權法保障？能否將訓練資料視為合理使用？美國有多起生成式AI的訴訟以此為爭點。在此，我國經授智字第11252800520號認為，在蒐集資料訓練AI模型階段，訓練資料如受著作權法保護，會涉及「重製」原始著作之行為，除有著作權法第44條至第65條合理使用，即可不取得著作財產權人同意或授權之情形外，應取得著作財產權人之同意或授權。 而所謂合理使用之判斷，就是要針對利用之目的及性質、所利用著作之性質、質量及其在整個著作所占比例、利用結果對著作潛在市場與現在價值之影響等要件，是否得依著作權法法第65條第2項規定主張「合理使用」，仍須個案綜合判斷，尚無一定之標準。顧振豪說，Al與著作權法制涉及層面廣泛，法律或技術的推動，不可能寄望於某一個特定個案，著作權法65條概括合理使用範圍可能需要進一步討論，這也是資策會科法所一直在做的事情，持續觀察各國與國際組織之著作權議題發展，提供我國政策方向之參考，在保護著作權人之利益與AI產業發展間取得平衡。 AI可輔助董事會決策的效率跟品質 在AI科技導入下，上市櫃公司董事會職權行使會有什麼不同的新風貎？誠美材料科技治理主管／投資人關係暨股務經理馬紹恆說「董事會決策層面，透過AI輔助決策，是人決策，還是電腦決策，或人跟電腦一起搭配做決策，涉及到決策理論。從決策的角度來說，董事資訊獲取通常較為不足，而且在現在的上市公司的實務當中，董事多半都是有兼任數間公司的董事，董事會時，面對議事單位提供的各種資訊，要在短的時間裡，作成決策，在資訊的獲取的質跟量，時間都不是非常的充足之下，若AI資訊系統可以跟公司ERP結合，透過資料整理，將有助於輔助董事在董事會決策的效率跟品質，這就是基本輔助型AI。 除了典型的認知能力低，自動化程度高，可以整理非常多的資料，把資料轉化成情報，供董事去做決策上思考。擴增型AI的認知能力較高，能夠透過背後的資料推理邏輯的過程，針對某議案的事項自動產生幾種選項，再由人類來作抉擇。最高認知程度時，甚至可形成中心化自治體的狀況，由極高認知程度的電腦，取代董事，針對公司的決策做判斷，甚至透過資訊系統連結，達到董事會對經營團隊或內部員工的控制制度，對外與各利害關係人，包括客戶、供應商或投資人都可以透過此自動系統做連結，這些都是目前AI在輔助董事會決策可以思考的方向。 以終為始，培養跨領域專業人才 「賈伯斯曾說，每一個人都應該要學習寫程式，因為能讓人學會思考，」好課多數位教育董事長江承勳說，尤其是AI應用在不同領域，更應該透過以終為始的方式，讓其成為通識的課程，目前108課綱已經把程式設計列入國小五年級六年級必修課程，若高中要進入資訊相關科系，那如果APCS證照，如果要申請美國大學先修課程AP，若能自己設計簡單的APP或程式都會非常加分，不管是程式設計課程或AI的學習都是未來的趨勢，但基本就是要先把英文學好，甚至進階學程式設計相關的語言，即使學不成也要將其變成基本通識，才能培養出跨領域，以終為始的專業人才。 目前偏鄉科技教育師資及資源仍十分不足，許多老師都是由非本科系老師兼任。江承勳說，AI技術使教育資源更容易普及到偏遠地區和弱勢群體，無論是課程資 源、教學工具還是學習機會，都可以透過數位平台和智能化技術實現普及化。此外，AI提供了更多元的教 學資源和內容，滿足不同學生的學習需求和興趣AI技術促進了即時的知識分享和學習交流，教師和學生可以 過數位平台和智能工具分享知識、討論 問題，實現教育資源 的即時擴展和共享。 AI技術繼續發展，為教育提供更多元化、智能化的解決方案，數位教育將更加普及和個性化。江承勳說，虛擬班級、增強現實和虛擬實境等技術將為學生提供更身臨其境的學習體驗。同時，教師的角色將更加重要，將成為學生的學習導師和技術應用者，引導學生利 用數位資源和工具實現自主學習。 科技產生的問題應靠科技解決 在金融科技中，AI將慢慢變得無所不在，臺灣金融科技協會名譽理事長／理慈國際科技法律事務所共同創辦人蔡玉玲說，像美國保險公司Lemonade利用AI審核保險理賠請求、花旗利用AI解讀法規，美國運通計畫利用 AI 預測消費者行為模式並與消費者互動都是很好的範例。但工具不只好人會用，壞人也很會用，甚至更早，也更會用。科技帶來風險，而且速度會越來越快，AI 產出成果更不可測且不可控，不管是人為惡意操作，錯誤資訊或過度依賴 AI，細微的疏失可能釀成災， AI應用帶來風險，衝擊金融穩定。由於資料敏感，高規管的金融業應用AI，信任問題更形重要。目前除了英國金融行為監理總署 (FCA) 的 AI 五原則，金管會「金融業運用 AI 之核心原則及政策」及銀行公會「金融機構運用人工智慧技術作業規範」也都有針對AI應用提出指引，希望AI應用能用安全穩健，適當透明性及可解釋性，公平可咎責並受監督，可修正及申訴。 在自律與他律拉扯間，自律存在有其必要性。蔡玉玲說，政府端制訂法律有其極限性，若能透過業界自律，藉由本身在技術的專業，藉由自我省思，更能找出在技術演進過程中，每個階段所需要的自律配套為何。最重要的是要懂得利用科技來保護自己。當AI失控或被駭而致災害發生時，找律師或去檢調單位報案，可能緩不濟急，還是得靠科技，因此利用科技工具的同時，也需要建構一個科技保護機制。未來世界越來越不可測，風險是來自於法律，還是科技，值得思考，要讓世界更美好，科技產生的問題可能靠科技解決比法律更有效！ < Previous News Next News >

第一屆第九次理監事聯席會議紀錄 2022年5月26日 上午6:00:00

[專訪] 身分安全治理SailPoint: 駭客首要竊取的是「權限」 2024-02-26 說資安新聞網／作者 潘后儀 新聞來源： https://cybersecurenews.com.tw/industry-talk-040/ 資安事件原因很多，企業內部人員的疏漏比來自外部惡意程式攻擊的風險為之更高。我們可以如何「雙協助」，協助企業風險降低，也協助企業內部人員避免成為資安事件發生的肇事者呢? 2月中旬大家是否留意到一則新聞，關於日本東京電力公司出面說明當月7日，福島第一核電廠發生含放射性物質水外洩的事故原因，是作業人員忘記關閉手動閘門，「人員疏忽」的原因。這讓我想起SailPoint台灣區總經理傅孝淇也曾提到，資安事件原因很多，企業內部人員的疏漏比來自外部惡意程式攻擊的風險為之更高。我們可以如何「雙協助」，協助企業風險降低，也協助企業內部人員避免成為資安事件發生的肇事者呢? 「零信任」網路部署成效的發揮 身分安全治理成為關鍵 自2020年疫情影響大幅度的改變大家工作模式，增加遠距工作型態，系統資料上雲與服務的雲端化，過往所談及的內外網隔離幾乎已成泡沫，取而代之的為「零信任」網路部署，永不信任必須驗證的概念，「零信任」觀念已是國家級的資安政策，我國政府持續的推廣與施做中，然而零信任架構是否能發揮出成效，對於能否在目前面臨雲地混和的IT環境中，持續治理身分安全和存取權限管控，將是一大關鍵的檢驗。 傅孝淇分享這幾年觀察台灣企業資安部署的現象，她發現台灣企業沒有專責身分安全部門的設立且持續使用過去傳統方式管裡各部門人員身分權限的使用，例如使用excel表單或是IT與OT部門，各管各的身分存取權限，連同機器設備的身分管理方式亦然。她表示今非昔彼，企業身分安全(Idenfity Security)管控不再只是員工專享，非員工的身分也必須納入其內，例如第三方的合作夥伴、供應商、臨時人員、甚至是機器人員工和數位設備等都需要入列被保護。因此，企業必須捨去傳統式的管控身分安全，否則會持續發生令人難以挽回資料外洩或是資安威脅事件的憾事。 網路安全漏洞9成來自身分安全因素 傅孝淇敘述兩個案例，一個是高科技製造業，製造業視職權壁壘分明是常規，當企業營運各部門階層人員的身分或是職權產生衝突時，對內部治理是一大災難，可能會產生越權的現象或是事情被擱置無人處理。另一案例，則是資安威脅事件發生的原因，來自企業內部的孤兒帳號，當員工離職後企業未盡妥善的身分帳號處理，當離職員工的孤兒帳號又同時具備重要的權限，駭客潛入企業內順勢就可利用孤兒帳號，輕而易舉竊取內部機敏資料且大肆勒索企業一番。這呼應了去年(2023)我閱讀SailPoint所發布的年度研究報告《The Horizons of Identity》訪問北美洲、拉丁美洲、亞洲和歐洲近 350 名網路安全高階主管，統計調查顯示超過90%的網路安全漏洞與身分有關， 由此可知 企業組織裡身分安全是資安領域內不能輕忽的一環，因為身分安全很有可能就是最大的一個資安破口 。 企業要導入身分安全治理的門檻高嗎? SailPoint是現今全球企業身分安全治理的服務廠商，台灣區總經理傅孝淇自稱接觸客戶總以身分安全治理的傳教士精神為出發點，因為SailPoint來到台灣以專注教育市場且投入大量身分安全治理在地化服務(Local Service)為使命，在台灣除了原廠業務及技術人員的支援外，還有數家本地專業的資安服務代理商深耕服務客戶。傅孝淇表示當企業認知每一位員工，包含機器人員工都具備最小權限的管理，有了這些基礎觀念與認同後，企業接續規劃發展身分安全治理會是順利的起點，她也進一步提醒企業資安人員，不能只認為身分安全只有Single Sign-On (SSO)身分驗證解決方案或是多因子認證（MFA）， 而要 從企業全面的安全管理到每位員工的身分存取開始到結束的生命周期性整體性思維來延展身分安全治理的觀念。 再者，企業日後如果考量導入微服務（Microservice）、容器(Container)技術、元宇宙（MetaVerse）虛擬技術、智慧聯網IoT等，這些科技進入企業營運，身分安全的建置的需求無可倖免，同時須留意企業無法單憑人力或是單一產品，有效進行治理與保護身分安全，而是需要具有可擴充性、可配置性及能自動執行的機制，如此才能協助企業迅速解決系統使用權限配置的複雜性與避免成為駭客的幫兇。 身分安全治理是「權限」的守護者 對談最後傅孝淇拋出看待資安事件發生的思維，她說大眾或是企業一旦聽聞資料外洩或是資安威脅事件發生，第一時間就是聯想到駭客、社交工程攻擊、勒索惡意程式等，這樣想沒錯也是需留意的，但是我們深究下去，試問駭客潛入企業內部最終目的是為了什麼? 答案是，為了取得資料(Data)。企業的資料外洩諸多來自內部系統身分安全權限被破解，當駭客潛入企業網路內部，除了掌控內部系統的權限外，還取得機敏資料肆意妄為，所以駭客首要竊取的是「權限」。因此，身分安全治理是奠定企業安全紮實的地基也是「權限」守護者。 < Previous News Next News >

企業5G專網防護投資2027年達129億美元 2023-06-29 TechNews 科技新報 新聞來源： https://technews.tw/2023/06/29/5g-private-network-security/ 網路資安領導廠商趨勢科技釋出一份研究調查指出，儘管 5G 在設計架構上對資安的設計及要求，一般被認為是相對安全的（secure by default），但大多數企業仍投入了 5-10% 的 IT 預算在 5G 專網防護上。 趨勢科技網路資安副總裁 Greg Young 表示，探討 5G 專網技術，「按照規範進行設計便能確保資訊安全」的概念是不存在的，尤其是在營運階段更加需要考量整體資安策略，因此企業自行添加一些額外的防護確實會比較放心。未來很重要的一點是要教育新的使用者了解哪裡可能出現最嚴重的資安漏洞，以及責任共同分擔的資安模型在這類環境當中是如何運作。 該研究調查指出，72% 的全球企業認為全球行動通訊標準組織 3GPP 所制定的 5G 專網安全措施基本上是足夠的。這些網路架構在設計時就已考慮到安全性，而且由於是 5G 專網，所以本質上會比公共 5G 更為安全。然而，這並不表示它們能有效阻止駭客的滲透和攻擊，且該研究的受訪者似乎也同意這項論點。根據估算，大多數的受訪者仍投入了 100 至 500 萬美元的 IT 預算在 5G 專網防護上，且預期未來還會持續增加。 趨勢科技指出，企業領導人對於企業 5G 專網防護的期待主要集中在資安可視性（75%）、風險控管（65%），以及改善及簡化警報系統（49%）。至於企業組織內實際執行5G專網佈建的單位主要需求為裝置身份驗證（75%）、存取控管（65%），以及防範假冒的基地台（58%）。 由於企業組織內不同角色及立場對於資安的需求順序略有不同，從以上列點可以得知企業領導者更專注於整合並提升企業整體資安可視性與風險控管，而實際執行 5G 專網佈建的單位則更加重視符合並能提升 5G 網絡內的安全標準，以達到 3GPP 所要求「secure by default」原則。 這份報告也進一步探討責任共同分擔的資安模型，並非所有元素都應該由服務供應商來負責保護，企業同樣也必須防範環境內某些環節的風險。報告指出，在當前企業對於資安廠商解決方案普遍缺乏認知的情況下，市場教育及認知落差的矯正將成為未來發展的重要關鍵。 （首圖來源：Futuristic design vector created by freepik – www.freepik.com ） < Previous News Next News >

< Back 調整居家隔離天數及相關防疫措施 2022年5月11日 上午2:23:09 資料來源： 中央疫情指揮中心 工業總會轉送中央疫情指揮中心修訂之「調整居家隔離天數及相關防疫措施」， 敬請會員廠據此修訂公司/企業/公私立機構現有之持續營運計畫，並落實執行，謝謝！！ 0425_確診者主動回報及接觸者匡列說明 .pdf 下載 PDF • 2.21MB < Previous Next >

資安風險就是國安風險 國防院學者示警中國APP入侵 2024-08-12 中央社 新聞來源： https://www.cna.com.tw/news/aspt/202408120050.aspx 近年小紅書、抖音等中國社群平台受到台灣年輕世代喜愛，國防院學者曾怡碩表示，只要是受過中國政府所管轄的中國APP，基本上都會有資安疑慮，而「資安風險就是國安風險」。 中國小紅書、TikTok透過精準演算法，提供包羅萬象的美妝、旅遊生活資訊，以意識形態娛樂化方式擄獲不少台灣年輕人的心。然而「去政治化」正是問題所在，美麗外衣包裝下，展示的是中國審查過後世界，無聲無息地擴散文化滲透力。 （中央社記者吳書緯台北12日電）近年小紅書、抖音等中國社群平台受到台灣年輕世代喜愛，但各界也憂心資安與國安風險。國防院學者曾怡碩表示，只要是受過中國政府所管轄的中國APP，基本上都會有資安疑慮，而「資安風險就是國安風險」。 近年中國短影音平台「抖音」（海外版本為TikTok）所造成的資安疑慮，引發各界關切，更被憂心其散播的內容會造成對台統戰滲透，讓使用者接收中國宣傳而不自覺，因此呼籲全面禁止的聲音未曾停歇。 針對TikTok所造成的資安疑慮，國防院國家安全研究所副研究員李俊毅受訪指出，根據TikTok離職員工的證詞，TikTok確實將使用者個資回傳到中國，這涉及到個人資安隱私問題。在中國的威權體制下，這些資訊如何被使用，例如是否被用以側寫與掌握特定使用者，確實存有風險。 國防院網路安全與決策推演研究所副研究員曾怡碩告訴中央社記者，只要是受過中國政府所管轄的中國APP，基本上都會有資安疑慮，在數位時代使用各種APP，平台服務的提供者、企業就會觀察、記錄、蒐集使用者的使用習慣，進而透過演算法量身打造相關投放的資訊以及行銷，這都屬於商業行為。 曾怡碩表示，在民主法治國家，若上述資訊涉及司法案件，政府要獲得這些資訊，需要一定的法律程序才可以獲取，中國雖然也有上述相關法律程序，但中國另有「情報法」、「保守國家秘密法」，賦予政府機關只要認定有涉及國家安全，就能要求平台服務業者提供使用者的使用紀錄，而中國政府獲取這些使用紀錄，要進行何種行為也是不透明的情況。 李俊毅表示，TikTok除資安外，第二個危害是錯假訊息的傳遞。有些人認為錯假訊息不是只有TikTok才有，社群平台如臉書（Facebook）或通訊軟體Line等，都會被有心人拿來散播錯假訊息。但近年臉書、Instagram（IG）、Youtube等，都有打擊機器人帳號的新作法，也會標註政府金援的媒體，如來源是中國政府的資訊。TikTok缺乏這些努力，讓錯假訊息相對容易散播。 除資安疑慮、錯假訊息外，李俊毅指出，「最隱而未顯，但危害最大」，或許是TikTok與抖音透過演算法形塑使用者的認知。中國政府已立法要求媒體平台的演算法推薦模型，必須符合中共的價值觀，可確信抖音是對內宣傳的工具，而TikTok也有此風險，近期歐洲也發現TikTok僱用審查員審查內容，過濾中國禁忌的敏感關鍵字。 李俊毅舉例，國外已有研究指出，抖音在推播訊息給使用者時，其熱門影音有高達4成來自中國官方帳號，和使用者的經驗可能有相當出入，這些影音的內容通常是非政治性，也因此較易吸引關注。 李俊毅進一步說明，抖音長期推播有利中國的短影音給使用者，加上中國政府要求平台自我審查，讓對中國持負面或批判的短影音難以出現或傳播，具有長期形塑閱聽人認知的效果。 對於台灣人使用中國APP的風險，曾怡碩表示，只要到了中國司法有長臂管轄權的地方，或是香港、澳門等地，中國即可透過中國APP廠商的紀錄進行主權伸張，調查使用者在中國APP上的言行。（中央社編輯：林淑媛）1130812 < Previous News Next News >