[爆卦]資安違規案例是什麼?優點缺點精華區懶人包

雖然這篇資安違規案例鄉民發文沒有被收入到精華區:在資安違規案例這個話題中,我們另外找到其它相關的精選爆讚文章

在 資安違規案例產品中有2篇Facebook貼文,粉絲數超過58萬的網紅3Q 陳柏惟,也在其Facebook貼文中提到, #中製產品進佔台灣區間測速設備? 去年四月底時, Leo, that Taiwanese. 理觀點. 發表交通建議系列文,其中也標注了我,我的團隊也跟理觀點了解他的立場與質疑點,特別是關於區間測速儀器,對道安是否造成影響,以及偵測是否準確。除此之外,也反應表示區間測速可能疑似使用海康威視產品 ,而...

  • 資安違規案例 在 3Q 陳柏惟 Facebook 的最讚貼文

    2021-01-28 12:59:19
    有 12,485 人按讚

    #中製產品進佔台灣區間測速設備?
    去年四月底時, Leo, that Taiwanese. 理觀點. 發表交通建議系列文,其中也標注了我,我的團隊也跟理觀點了解他的立場與質疑點,特別是關於區間測速儀器,對道安是否造成影響,以及偵測是否準確。除此之外,也反應表示區間測速可能疑似使用海康威視產品 ,而中國產品資安向來信任度很低,擔心台灣的個資因此被掌控外洩。
    #目前中央單位公總的方向
    我們對於資安問題一直相當重視,團隊也即刻向公總詢問,請求公總盤點當儀器狀況,公總回應初步確認儀器皆為台製。團隊了解民眾對資安和交通取締爭議的擔憂,我們持續追查是否有新設狀況,或者是補助地方政府設置等事宜,並在同年7月確認中央單位公總對區間測速設備,後續的辦理方向為「無補助」、「無設置」、「無中製成分」。

    #部分設備要透過內政部警政署了解
    在關心本案過程中,也因此獲知有些區間測速儀器,過去是由公總補助經費給地方政府去設置,因此這些設備的設置狀況,必須要透過內政部警政署,洽各地警局了解現況。為釐清不屬於公總設置的儀器,辦公室在去年五月底發函詢問警政署,請警政署盤點現行區間測速儀器的廠商與產地資料,並在同年六月中旬,收到警政署回函,提供區間測速目前清點器材清單,清單內容顯示未使用海康威視產品。

    #是否有穿上羊皮的狼混充?
    根據目前民眾提供的資料,以及辦公室掌握的行政單位資料,本次的爭點主要是:依照行政單位的清單,使用的產品並非中國製,符合台灣製的概念,但民眾擔憂是不是有的是使用中國產品、中國零件,再來台拼裝或者是號稱台灣製的可能性?而這些產品會不會有資安疑慮?標案相關的查核能量,是否足夠到能夠確實把關呢?

    #中央立場與目前狀況
    經反應後,林佳龍部長也高度重視此事,表示「取締違規涉及政府行使公權力,以及與人民權利義務的關係,資安上不容有疑慮,必須從嚴認定」,中央絕不允許使用中製等資安有疑慮的產品,裁定若廠商無法證明非中國製、並切結零組件亦非中國製者,須先下架停用。另外將持續檢討區間測速對於道路安全的效益,包括設置地點和速限等。

    我們樂見交通部身為交通行政主管機關,對於本案採取慎重積極的態度,也會持續關注交通部後續的處理狀況。此外因部分設備為地方政府設置,管轄權在地方,我們目前也請警政署說明對應的方法。而地方對區間測速資安部分、以及道路安全效益評估,是否跟上中央的腳步全面檢討處理,就有待後續觀察。

    #未來可以努力
    依照本次案例,顯示現狀管控仍有不足,若碰到洗產地的可能性,主管機關該如何檢測,似乎目前還無法讓民眾信服。接下來辦公室除了追蹤後續狀況,我們期望行政單位能積極處理面對這樣的問題,而基礎設施的資安強化方面,政府採購法是否需要與時俱進,是否該通盤修正,也是我所關心的!

    因此,我在去年五月提案《政府採購法》修正草案,希望 #強化涉及國家安全採購跨更多部會的審查機制,解決現在各政府部門各自認定國家安全範圍的問題,也期望各界能一起討論努力。

  • 資安違規案例 在 鄭龜煮碗麵 Facebook 的最佳貼文

    2019-06-03 21:24:00
    有 84 人按讚

    我們該如何規範人工智慧 (全文)?

    #COMPUTEX,這個跟我一樣歲數的電腦資訊展會,我竟然直到今年才首次踏入。

    這次受主辦單位之一的 #外貿協會 ( #TAITRA)邀請,在上週三(5/29)來到位於南港展覽館 2 館4樓的「 #SmarTEX」展區參觀,與多家參展公司交流。我雖然自己經營過科技媒體網站,但我不是擅長採訪會展的記者,也不是好的 3C 部落客,因此我抱著「幫自己正在思考的問題取材」的目標,前往這場大型科技會展。

    (先說:因此這篇文章不會有太多展覽展位上產品的細節跟照片,請大家見諒。)

    而我最近在想的問題,也就是本篇文章的主題是:進入人工智慧時代,我們該如何規範人工智慧?

    或者,我們也可以反過來問:人工智慧該如何規範我們?

    自認偏樂觀派的我,其實不希望讓大家覺得「人工智慧的未來真糟糕」,我的個人偏見是:大致來說,我喜歡科技,儘管科技的確會帶來衝擊,但只要我們更願意去思考,就更有機會讓未來往比較好的方向演進。所以談這個議題,目的是要避免要是這樣的狀況真的發生了,我們才懊悔地說「這真糟糕,為何我們沒有早點想到。」

    --------------------

    關於人工智慧的規範問題,首先,我們來看看 MIT 媒體實驗室做的一個調查「道德機器」(網址:http://moralmachine.mit.edu/hl/zh)。

    在這個網頁裡頭,有許多類似「#電車難題」的情境,需要你來回答。每一個參與者,需要回答 13 個題目,每個題目只有兩個選項。在每一個題目的情況中,都有一輛突然煞車失靈的自動駕駛汽車,而你必須做出選擇,要繼續前進,或是轉彎離開。

    例如在某個二選一的情況中,你認為這台自動駕駛車該繼續直衝,撞死一個成人男性,還是轉動方向盤,讓車子撞上另一側的護欄,殺死車上四個人,包括兩名兒童?

    在另一個二選一的情況中,這台自動駕駛車上只有一隻貓,若繼續直衝,會撞上護欄,讓貓死於非命,但若自駕車往左彎,貓的性命可保,卻會撞死一位正在違規闖紅燈過馬路的遊民。

    類似這樣的二元選擇有很多種變化,例如過馬路的可能是動物、可能是罪犯、可能是醫生,嬰兒,或是這些人的綜合隊伍,他們或許是違規過馬路,或許是遵守交通規則但運氣不好。而車子直衝或轉彎,也隱含了道德選擇。推薦各位都上道德機器的網頁去回答看看,看你會不會跟我一樣覺得實在是逼人太甚,到最後根本就放棄思考(XD)。

    這個網頁告訴我們一件事:我們不可能對各種狀況產生共識、或得出任何堪稱正確的答案,事實上這個調查也不是要用多數人的意見來決定未來的自駕車要是真的煞車失靈的時候,該做出什麼行動。然而這個調查提醒我們,當越來越多的「人工智慧代理」進入我們的生活,就會產生更多類似的道德難題。

    --------------------

    舉例來說,若一個 #人工智慧股票交易系統,因為對政治領袖發在社群媒體上的文章產生錯誤的解讀,而決定拋售某一檔股票,造成連鎖反應,讓投資者大賠一筆,這樣的損失該由誰來負責呢?

    延伸閱讀:〈AI 機器人害我投資賠錢,我能告他嗎?〉
    https://www.techbang.com/posts/70447-ai-robot-made-me-invest-money-can-i-sue-him

    舉例來說,若一個 #人工智慧戀愛配對系統,推薦了一位居心不良的對象給另一個使用者,最後使用者被騙財騙色了,誰會受到最多的指責呢?誰「#與惡的距離」最近呢?

    再舉一例來說,如果用於門禁或 ATM 的臉部辨識 AI 系統出問題,太過嚴格以至於讓使用者開不了門、領不到錢,或是太過寬鬆使歹徒得以利用,那該怎麼定義問題的範圍,用理性的方式來解決呢?

    臉部辨識作為服務升級的關鍵,從智慧零售到智慧家居到智慧服務,都少不了這項技術的身影,也是人工智慧使預測平價化的代表。只要你拿著這一兩年出的新手機,想必也不會陌生。例如我這次參訪的 #訊連科技(CyberLink)展場主打「FaceMe」AI 臉部辨識引擎,他們提供 SDK 與多家科技廠商合作,包括 #宏碁雲端、#奇景光電、#微程式、#凌群、#達碩 等。我也拜訪了同在 SmarTEX 展出的達碩智慧科技,了解他們使用這套臉部辨識引擎,針對銀髮照護、社區管理、企業差勤管理等不同情境設計的解決方案。即使在我與訊連跟達碩的主管談話時,他們自謙還不是目前領先的廠商,但他們的服務也已經非常成熟,可見這樣的軟硬體整合套裝將持續普及到各地,而台灣中堅企業將成為關鍵推手。

    美中貿易戰,加上美國可能逐步針對有侵犯人權之虞的監控科技施加圍堵禁令(如 #海康威視、#浙江大華、#商湯科技 等),突顯出台灣提供類似服務的企業所能提供的安全價值,但即使如此,這項科技本身還是帶給社會其他挑戰。訊連科技的連啟民協理跟我說,臉部辨識的準確性不是 0與1 的取捨,他們的 SDK 能夠針對不同情境,讓配合的廠商自行調整精度,掌控風險,例如從一般社區門禁的萬分之一調到 ATM 的十萬分之一,同時使用邊緣運算技術(Edge Computing),讓資料不用都到雲端,降低反應時間及資安疑慮。

    我在展場也與 #康訊科技 及 #訊舟科技 兩家公司進行交流。康訊從圖資起家,以地理定位技術切入車載系統設備,扎根台灣30多年來,已經成為全球領先的車隊管理服務商,不管是共享汽機車、物流公司、校園巴士、救護車、消防車都是他們服務的客戶。他們提供的設備就像車上的黑盒子,可以完全掌握車輛的狀況,如透過監測引擎啟動狀態,可以知道司機是否過勞;透過監測燃料消耗情況,可以知道是否有偷油的情形發生。而全球客戶累積的數據也成為重要的資產,可以協助物流業者優化路線。

    訊舟作為老牌網通公司,這次展出許多產品,我認為最亮眼的就是他們與中研院陳伶志博士合作推出的「空氣盒子」,我雖然早就知道空氣盒子,卻是第一次看到並且從訊舟的角度聽這個已經是公民科技典範的故事,目前在全台已經有 4,000 多台設備上線,密集監測空氣品質,累積的數據也已經可以做到空品預測。

    另外,這次在 SmarTEX,科技部推動的 #GLORIA 國際產學聯盟現場展出 67 項前瞻技術,我也與聯盟中的幾所大學交流,例如 #中國醫藥大學 推出能夠判讀骨齡、癌症等資訊的 AI,節省醫師判讀時間,加速診斷。#國立交通大學 伍紹勳博士則與 #新光醫療團隊 合作,用像是貼在東尼史塔克胸口的智慧貼片,只用3導程就能正確模擬專業醫療設施12導程的ECG心電圖信號,大幅改善病患的行動自由,也顯著降低成本。而具有超過 2,000 例達文西手術經歷的 #臺北醫學大學劉偉民醫師團隊,則在擁有大量醫師第一視角錄影的基礎上,推出手術教學平台,包括 VR 手術直播拍攝,與虛擬手術教學模擬系統。

    從訊連、達碩、康訊、訊舟到這三個來自學界的醫療技術案例,可見都與數據分析、人工智慧辨識判讀、虛擬模型建置有關,儘管我相信在台灣醫療與科技、工程多重優勢下,他們都前景可期,但該問的仍然要問:要是出了差錯,怎麼辦?誰負責?各團隊對此問題顯然也都深思熟慮過。而我將他們給我的回答整理,加入我對「人工智慧如何規範」這個問題的答案。

    --------------------

    #以自駕車為例思考

    著名的科幻小說家艾希莫夫,在1942 年的短篇小說 Runaround 以及後來的機器人系列裡頭,提出了機器人三原則(Three Laws of Robotics),很多人可能都會背了,這三原則分別是:第一,機器人不得傷害人類,或坐視人類受到傷害;第二,除非違背第一法則,否則機器人必須服從人類命令;以及第三,除非違背第一或第二法則,否則機器人必須保護自己。

    參考:Three Laws of Robotics
    https://en.wikipedia.org/wiki/Three_Laws_of_Robotics

    這三原則聽起來很周密,但其實並非如此,而且也不太現實。以自動駕駛汽車作為案例吧,自動駕駛汽車是這一波人工智慧發展最受關注的領域,而且因為許多國家政府正在積極制訂法規,自駕車的自動化程度,跟依據自動化程度而制定的責任歸屬,也比較清楚,值得用來舉一反三,幫助我們思考,人工智慧要是進入到每一個領域,會帶來多少該仔細考量的變化。

    那麼,到底什麼是自動駕駛汽車呢?你可能聽過什麼 Level 3,Level 5 的,那指的是自動駕駛的自動化程度分級,我們可以用這張表來簡單呈現:

    這個分級定義,是由國際汽車工程協會(Society of Automotive Engineers, SAE)所提出的,已經獲得廣泛的共識。從第零級到第五級,共有六個層級。第零級的自動駕駛就是毫無自動化,一直到第二級,都還是以駕駛員為主,機器提供輔助。

    但從第三級開始,負責開車的就是機器了。人類駕駛頂多在緊急狀態作為備用選項。第四級之後,就連緊急狀態也是由機器來應對,人類就從駕駛這件事基本退場了。到第五級的情況,就像是有一個超級人工智慧在負責開車,相信到時候,超級人工智慧也不會只用在車上。

    目前已經有幾家汽車公司宣稱自己的自駕車達到了第三級,例如 #奧迪、#特斯拉、#現代汽車 等,大部分車廠也都表示在 2020 年就會推出第三級的自駕車。Google 旗下的 Waymo 以及台灣的財團法人車輛研究測試中心 ARTC 則表示都已經有第四級自駕車的技術能力。

    日本政府非常積極地花工夫在自動駕駛的規範上,日本的「投資未來委員會」在 2018 年底,便提出了已經研擬多年的自動駕駛汽車指導原則。根據報導,日本首相安倍晉三希望透過採取具體步驟,建立法律框架,讓日本成為率先制定國家級規範的國家。首要處理的就是第三級自動化情況下的監督跟法律方向。我們就來看看,在自駕車的規則上,日本是怎麼想的?

    日本的規則是,通常來說車主需要對車輛自主運行時發生的事故負責,並且由政府規定的汽車保險公司承保。如果車輛系統有明顯的缺陷,該負責的就是汽車製造商。強制性保險這一步確定了之後,保險公司也就能夠制定方案,讓車主選擇,要保哪一種。

    另外,為了釐清事故的原因,自動駕駛汽車需要完整記錄位置、轉向、人工智慧系統操作狀態的信息,也就是說,得要有像是飛機黑盒子這樣的裝置。

    那如果遇到新型態科技犯罪者或駭客呢?只要車主有採取適當的安全措施,例如更新車輛系統或維護保養,那麼若是因為駭客攻擊或入侵造成損害,就視同汽車被偷走了。

    除了這幾個大方向以外,還有不少問題待解決。因為剛剛說的都只是民事責任,財產相關的規範,但還沒有碰觸到刑事責任,如果真的因為自駕車的缺陷而造成傷亡,除了車主以外,程式開發者,汽車製造商該負起哪些連帶的責任呢?若不能盡快釐清,程式開發者跟汽車製造商就難以決定是否該正式推出產品。

    另外,自動駕駛的操作條件、例如速度限制,運作的時間長短,天氣狀況也都得考量,就像各種已經存在的汽車安全規範一樣,人工智慧控制系統的標準、對網路攻擊抵禦的強度,也都得一一制定。

    --------------------

    而以自動駕駛為案例,可以幫助我們思考該怎樣規範其他人工智慧的應用情境。歸納我這次到 SmarTEX 參訪交流的心得,我想比起艾希莫夫的機器人三原則,我們該建立的思考原則其實是這四個:

    #面對此時此刻的人工智慧該有的思考原則

    第一,#釐清主控權。整項任務中,是人類還是機器掌握主控權?能否以清楚的層級概念來劃分人類或機器的掌控程度?就像自駕車這樣呢?另外,在關鍵決策點,人類有沒有介入,是否被要求介入?這些都必須根據不同的應用環境來一個一個釐清。

    第二,#損害管理與風險溝通。在發生意外的時候,擁有者、使用者、設計者、販售者、維修者等角色,是否已經明白可能要負的對應責任?這些責任的政府主管機關與相關的法律有哪些?其實每一樣新的科技進入我們的生活,都會有一段學習曲線,我們不太可能在了解所有問題、解開所有疑慮之後才採用新技術,而是必須妥善跟每一個角色溝通風險。

    第三,#數據紀錄透明化。為了忠實檢討意外發生的原因,人工智慧系統需要持續紀錄運作狀況,以及感測器所收集到的各種資訊。並且要確保訓練人工智慧的資料也是可受檢驗的,避免造成系統化的偏見。另外也同等重要的是,收集數據的單位,像是企業、保險公司或政府,有義務證明,收集這些資訊,是必要且適當的。例如飛機上機長跟駕駛員的通話可以收集,但車內的通話該不該收集呢?商店內的顧客對話該不該收集呢?

    第四,#系統思維。任何意外發生,都要了解,系統總是存在一定的風險,告知風險機率跟可能的狀況類型。以「不責難」的出發點,來面對後續的檢討,才能讓各角色更願意把系統中的臭蟲或不當行為揪出來,最終的目標是讓這個能夠便利更多人、拯救更多人的系統,越來越好。就像醫療一樣,如果每次只要有病人在手術中過世了,醫生都要被告到賠上身家,那還會有醫生願意繼續替病人動手術嗎?當醫療行為中有越來越多具有人工智慧的機器介入,診斷疾病、決定麻醉份量、甚至用機械手動手術,我們就不得不分配信任給更多的角色。

    從 COMPUTEX 的 SmarTEX 展區上琳瑯滿目結合了人工智慧的技術,可以肯定人工智慧已經,也即將進入每一個我們可以想像得到的層面,過去的規範將無法適用,而且即使訂出新規範,也會很快過時。我們不可能完全理解我們部署的人工智慧系統的風險。當前的機器學習運行得如此之快,以至於沒有人真正知道機器是如何做出決策,通常連開發人員也不知道。這些系統還會持續從環境中學習並更新他們的函式,這使研究人員更難控制和理解決策過程,在這樣缺乏透明度,也就是常說的黑盒子問題籠罩下,要建立道德準則跟規範,當然就極為困難。

    然而若不要大驚小怪,將人工智慧與人肉智慧對等來看,人類花了幾千年建立起的道德準則,同樣漏洞百出,我們卻也習慣了。人類專家有的偏見跟偏誤更是問題層出不窮,而我們也是一直倚賴這樣有缺陷的專家系統在運作。此刻的人工智慧浪潮,正給了我們機會跟動力,檢視我們習以為常的那些想法,我認為以上的四原則,更有助於我們迎向已經到來的未來世界,而開發出這些技術,推出產品與服務的企業,若都能夠率先思考這些問題,也是我們所期待的。就如同我在這次 COMPUTEX SmarTEX 展區上看見的一樣。

    --------------------

    最後,我雖然只逛了整個 COMPUTEX 的一部份,但很感謝外貿協會,讓我能不只是走馬看花,而是深入與廠商對話跟採訪,非常有收穫。幾乎每一家我逛的展位,都跟數據、AI(起碼是機器學習)有關,並將其結合硬體,整合出具有市場競爭力的方案,雖然我沒有資格替他們的產品背書,但我覺得深入談過之後,他們都對自己的產品與服務非常有自信,或許並非市場的領先者,也已經看見該切入的定位與成長的路徑。

    今年的 COMPUTEX 展會已經結束,不過以後若有機會前往類似會展活動,很推薦大家跟我一樣帶著問題意識去逛逛,跟這些未來世界的打造者聊聊,畢竟我們得住在裡面。

    --------------------
    Medium 版:http://bit.ly/2HLuT8p

你可能也想看看

搜尋相關網站