跳至主要內容

參與APNIC 47會議心得

Photo by Adli Wahid on Unsplash

自 2018 年開始擔任台灣網路資訊中心(Taiwan Network Information Center ,簡稱TWNIC)國際事務委員會委員,此次與 TWNIC 一同參與本次 APRICOT 2019 / APNIC 47 會議,由於參與的行程多與 APNIC 47的議程有關,以下就只簡稱 APNIC 47。
會議資訊:

關於網際網路的第九層

本次APRICOT開幕式邀請到網際網路學會(Internet Society,簡稱ISOC)總裁兼執行長 Andrew Sullivan為大家開場致詞,主題為「Up and down the stack through a nerd’s eyes: Making the Internet better the Internet way」在其致詞中提到了網際網路的第九層,相當耐人尋味。開放式系統互連通訊參考模型(Open System Interconnection Reference Model,簡稱 OSI Model)為七層,但隨著整個網路科技的改變,及與每個人的生活事務高度連結,在業界甚至調侃有所謂第八、九、十層的說法,第八層被戲稱為「office politics」,第九層為「blinders」,第十層則為「users」。

由於在討論「網路治理」、「網路政策制訂」的政府官員、學者、人權團體,並不是真的理解「網路如何運作」所以常會提出一些異想天開的建議,這也是為什麼技術社群在網路治理角色中相當重要的原因。這不止是網際網路的運作、相關技術的開發、網路安全的政策制訂,技術專家都能提供實際的操作狀況與意見,甚至也能評估可行性,因為他們是實際操作的人,知道網際網路運作的原因和方式。

本身連續兩年參與聯合國網路治理論壇、亞太區網路治理論壇和臺灣網路治理論壇,都觀察到許多倡議者在提出議題時,可能會偏重在人權議題、消費者或使用者權益保護、稅務、法制。例如網路安全(cyber security)已是連續兩年都是國際間網路治理論壇的主要焦點,但談論的議題會著重在個人的資料保護、隱私保護、但愈來愈少提到域名管理、國際化網路域名、路由器安全、網路交換中心、資料交換…等,基礎架構類的議題,取而代之的則可能多為內容審查、避免國家監控、新興科技開發的人權相關議題…等。雖然在整個網路生態系中,這些議題十分重要,且皆與人權相關,又如兒少保護、運用網路社群進行政治操作、或恐怖主義藉由網路散佈、毒品或槍砲管制藉由電子商務運送,危害人民身心等,這些都是顯而易見,同時也是政府人員、研究學者較易著手,但容易也先入為主,以自己熟悉的知識來解釋不熟悉的專業領域,若又是無技術專家給予建議,也容易造成討論無任何意義,僅是交換資訊的情況出現。此一演說的內容其實是與網路治理有關,更是談及了多方利害關係人討論機制的重要性。

網路內容管理的兩難

今年的Cooperation SIG談的主題是「Internet Content Blocking and Filtering — Challenges and Way Forward」,以尼泊爾政府阻擋及過濾網路內容為例,因應國際間政府希望能遏止不當的言論、網路內容在網際網路上流傳,如:不實消息(dis-information)、惡意的政治宣傳(propaganda ,如恐怖主義或選舉的不當網路言論操作)、兒童或青少年的情色或虐待影片與照片…等,或是因為不當的內容而造成的政治情勢或社會動亂,希望內容服務商或是網路服務業者能自上游或是平台進行內容過濾或是阻擋,有些國家如印度、伊朗、馬來西亞…等,甚至會以維護國家安全為由而阻斷國內對外網路(Internet shutdown ),或是先審核過網路使用者上傳的內容後,才允許刊登於網路社群平台,又或是阻擋內容平台,如馬來西亞的網路使用者便無法閱讀內容平台Medium 中的各種文章。

雖然是以維護國家安全或社會秩序為由,但這些行為都違背了聯合國人權宣言(Universal Declaration of Human Rights )中第19條:
Everyone has the right to freedom of opinion and expression; this right includes freedom to hold opinions without interference and to seek, receive and impart information and ideas through any media and regardless of frontiers.
侵犯了基本的人權。對於平台服務業者而言,他們並不希望違反人權,也無法掌控使用者上傳的資料是否為非法,站在尊重人權的立場,也沒有業者想去承擔內容審查(censorship)的工作。

然而上述會導致侵害人權的議題,都是需要正視的問題,各國政府希望能以最快、最嚴格的方式去進行但對科技業者、人權團體來說,這些從上游服務端阻斷、過濾內容的行為都是侵犯人權的,甚至可能會觸及各國的個人資料保護法或其他類似法規,他們希望能與政府及學者對談,也許是自教育的角度或是當執法人員需要資料時,業者該如何配合或是共同想出一個框架或規範,能保護網路使用者,也能協維護社會與國家的穩定,但又不會侵犯人權。

參與FIRST-TC 技術座談會

本次的FIRST技術座談會在本次APRICOT會議中擁有一整天的議程。這次的議程裡邀請亞太區、日本、韓國、馬來西亞的CERT至現場分享,還有邀請一組「紅隊(Red Team)」到現場,介紹他們曾經受邀,對某公司網路與電腦安全所進行的測試;最後則是請到日本的講者,介紹他們實際所進行的網路安全事件演練。

在上午分別由日本與馬來西亞CERT團隊的簡報中,都提到在過去的案例裡,曾經藉由解析 IP來源後,發現有94%的惡意軟體與釣魚網站都來自於台灣的HiNet 中華電信或主機是在中華電信,而馬來西亞CERT則舉出曾發生過假造當地銀行網址,偽造網站以騙取個資的釣魚網站來源是在台灣。
日本CERT分析IP來源結果,有94%惡意軟體及釣魚網站的主機都來自於中華電信。(原始投影片)


馬來西亞CERT 發現來自台灣的註冊域名假冒當地銀行。(原始投影片)


先前由國家中山科學研究院所負責的 TWCERT/CC (台灣電腦網路危機處理暨協調中心)在今年一月正式編制入TWNIC。同在現場的 TWNIC 副執行長也於現場積極與其他CERT連繫,了解這些案例的狀況,也表示希望日後 CERT 之間能彼此互相交流訊息;中華電信與其他相關單位也緊急的去確認、處理相關資訊。

除了CERT之間的報告外,其中的 Red Team 和日本網安團隊的網路安全事件演練,都讓人印象深刻。往往公司在擬訂了全公司的網路安全或資訊安全政策或規範後,最無法管理的,可能是人為的活動或是末端使用者的行為導致整個安全網失效。例如有些公司不允許員工使用私人的硬碟、電腦插入公司的電腦中,或是政府部會不允許內部電腦使用外部的網路儲存服務。但往往會因為高階主管職務上的需求,或是外派人員的業務機動性,會使用私人的儲存設備或是網路儲存服務,將檔案攜至公司外部,這些都有可能成為整個安全網路中的弱點。都需要在公司擬訂網路與資訊安全政策時,不能只單一的看公司內部的營運需求,而要視公司人員的職責,可能進行分級的權限管理,然而這都需要耐心和長時間的討論,也需要公司的網路管理人員一同參與,了解不同權限的設定困難度,也有助於制訂具有彈性的網路安全政策或規範。

會議空檔時,與 TWNIC 執行長討論,對於目前在臺灣看到的網路安全會議、年會、駭客大會、國際交流…等活動,普遍著眼於整個網路生態體系裡,偏末端的網路或電腦安全的討論,當然可能會談到網路伺服器的安全、受到攻擊的反應和降低風險,但這些都屬於事後的亡羊補牢,需要探討和演練,如日本銀行就曾模擬一場逼真的當面臨網路攻擊時,從董事會、公關部門、行銷部門、網路安全部門、到職員個人的應變處理演練,也是消費者、使用者端最容易有感受的部份。

那有無事先的預防呢?事實上,ICANN 呼籲呼籲各網域都應全面部署「域名系統安全擴充」(Domain Name System Security Extension,簡稱 DNSSEC ),藉由數位簽章以及雜湊比對的方式,驗證DNS伺服器結果的有效性,以預防中間人攻擊;APNIC 在推動的「資源公鑰基礎設施」(Resource Public Key Infrastructure,簡稱 RPKI )和 Internet Society (ISOC) 的「路由安全相互協議規範」(Mutually Agreed Norms for Routing Security,簡稱 MANRS )…等,這些都屬於網路基礎架構中所需要注意及佈署的網路安全協定或作法。這些網路安全對於處於網路安全環節末端的使用者來說,都是較難理解或是佈署的部份,但對於網路安全的企業,或是希望藉由網路科技來進行的應用發展,則需要從架構的基底層安全就需要注意,例如討論智慧城市或各種網路科技生活應用時,除了消費者資料與隱私保護之外,如何驗證資料傳輸的安全、資料交換、如何避免域名的假造或污染,這些都在整個網路安全治理的議題中,每一環節都需要討論及加強防護與注意。




留言

此網誌的熱門文章

各國政府在談資料跨境傳輸時,台灣需要什麼?

保護個人資料可能是各行各業的一個重要議題,不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業,除了要配合各國的資料保護法(規範、規則)外,也要擔心資料外洩事件後續的成本,還有許多額外的行政手續。許多國家已經感受到資料流動的重要性,也紛紛的透過數位經濟協議、各種雙邊或多邊協議,來減輕企業跨境傳輸資料時的相關成本,以促進(數位)經濟發展,例如2018年時,美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement),讓這三個國家的企業可以在忠北美境內自由傳輸資料。 2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT),其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸,促進資料自由流動,同時確保對隱私、安全和智慧財產權之信任。 在2019年G20大阪峰會時就已談出了DFFT的發展概念,2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題,並且也有著「資料的連結與使用是可提升生產力的重要因素,限制跨境資料流動,會是國際貿易體系的沉重成本之一,且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。 到了2023年,因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故,DFFT的概念再次被提出,且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership,IAP),並由OECD擔任協調的單位,來建立所謂的IAP;日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。 如果有興趣進一步了解DFFT,可以閱讀: Digital Agency, Data Free Flow with Trust (DFFT) , World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows 網路上的資料很多

聊聊台灣的人工智慧政策發展進度-歐美國家

明天 (520)是台灣第 16 任總統上任的日子。我們在上個星期五,也就是 5 月17 日的晚上,曾經經歷過2014年 318 學運的人,幾乎又有同樣的感受覺,彷彿又回到10年前,國民黨準備通過與中國不明不白的服務貿易協定。台灣人在接下來要面對的,是一個朝小野大的治理體系,唯一慶幸的是,我們可以全民監督政府,可以線上關注立法院又在上演什麼戲碼。 在 18 日下午幫觀音蓮換盆後,有個感觸:「大家都有生活要過,如果不是國會失能,誰想再走上街頭?」如果我們這一代都被教育為溫良謙恭儉讓,那怎麼立法院還能打成這樣? 回到新總統宣布內閣成員的那天,出現所謂「行動創新的AI內閣」,我始終無法理解這表示內閣自動化還是內閣AI化?我在媒體的報導裡,只能理解將延續智慧政府的願景,人工智慧 (AI) ,似乎是提升搜尋引擎關鍵字用的流行用字。 簡單查詢一下,台灣近期關於人工智慧的相關法規、規範、指引、辦法、原則,除 2018 年提出所謂的「 AI小國大戰略 」、 2019年時有立委提出應擬「 人工智慧發展基本法 」、2023年8月由國科會所擬的「 使用生成式AI參考指引(草案) 」,國內腳步最快的監管機關應該是金融管理委員會,在2023年10月公布「 金融業運用人工智慧(AI)之核心原則及政策 」,有相關的指引和配套措施。 當其他國家為避免發展人工智慧傷害人民而陸續建立事前管制的法規時,我有點擔心,台灣的法規進度在哪裡?如果從0到10,10是歐盟AI Act的程度,那台灣會在哪裡?台灣所謂的 AI內閣,有什麼 AI 操作或監管指引嗎? 關於全球 AI政策發展的觀察站 有興趣的人可以多閱讀 OECD 的 OECD.AI ,這裡面收集相對完整的全球立法資訊,自我 2019 年開始看這個網站到現在,這幾年網站內的內容增加非常多。 年初時一場線上研討會,參與者建議除了原有的功能外,也可以再提供一些政策研析,畢竟 OECD裡有許多的專家,不僅僅是討論及觀測經濟發展而已,這個意見很快被採納,但寫文章需要時間,所以他們也利用一些AI功能可以搜集收章,讓網站出現大量的文章。今年除了新增文章外,也看到有他們正在全球觀測所謂的 AI Incidents ,使用者可以透過網站了解全球因為開發或使用人工智慧系統所出現的實際危害事件,也 定義AI Incidents和 AI Hazard的不同 。免費,每個人都可以

關於花精的FAQ(4)--使用篇

這部份有十六個Q & A,內容很多,我想應該可以解決在使用花精上最常見的疑問。 花精是芳香療法嗎?是保養品嗎?是藥品嗎? 花精應該算是順勢療法的一種,可以外用也可以食用,不能說是保養品,因為沒有保養品用在皮膚上的直接效果,可以確定的是,花精並不是藥品也不含所謂藥品的效用,但它確實能藉由自花朵萃取出來的能量來平衡人心中的負面情緒。 花精買回家之後要怎麼使用? 通常買回家的花精我們被稱為Stock Bottle,裡面有濃度較高的酒精,所以只要放在陰涼處通常可以放很久,但是如果你的居住地方較悶熱,還是建議放在冰箱裡會比較恰當。平常我們在使用的被稱為Treatment Bottle,調配方式如下: 你要先有一個30ml的玻璃瓶,要有滴管,可以少於30ml,買回家後先用沸水煮5分鐘。注意滴管部位的塑膠不要放到熱水裡。 在已消毒過的30ml玻璃瓶中加入礦泉水或是乾淨的飲用水。 從每個花精的Stock bottle裡各取出兩滴花精加到這30ml的瓶子裡。 每天喝四次,每次取四滴,加入水或是飲料裡,或是直接滴四滴到嘴巴裡。 如果你要搭配急救花精的話,加入Treatment Bottle中的急救花精是四滴,其他的花精還是以每種兩滴為主。 我已經有使用其他的花精了,我可以混用巴哈花精嗎? 原則上是不建議。像是如果你本身已經有澳洲花精的急救花精,就不建議再混合巴哈花精的急救花精。 花精在調配上最多幾種?可不可以三十八種全用? 一般而言一瓶Treatment Bottle裡最多不超過六種花精,因為太多的花精可能會讓你看不清楚自己真正需要的是什麼?也解決不了根本的問題,可能短期內改善了某種情緒但長期而言是沒有改變的,也有可能會互相抑制。但因為每個人的情況不同,有些人可能只需要一種或兩種;有些人可能需要調配到七種或八種,甚至有些人需要三十八種全部,當我們真正的了解自己的情緒問題出在哪裡時,就知道適合的花精到底有哪些,再慢慢的排除掉不需要的花精。 用錯花精會不會有不良的影響? 不會,花精是很溫和的東西,簡單的就成份上而言,它就是水而已,頂多加上了白蘭地防腐,特別一些的說法是,花精多了自然界的能量。花精所改善的是我們的負面情緒或是較黑暗的性格,如果選擇了不適合的花精也不會有什麼不好的影響。 如果我已經有其他品牌的急救花精,而且還有很多,我一定要再重新買巴哈急救花精嗎? 不用,選擇最適合自己