2019年資安3大風險

【哈佛商業評論電子報】包含領導、創新、策略、管理等四大領域精彩內容。歡迎訂閱,與世界一流的管理接軌! 【阿布拉電子報】分享文學性、藝術性與兒童性兼具的兒童繪本,並希望透過繪本和你一起發現孩子的世界。

無法正常瀏覽圖片,請按這裡看說明   無法正常瀏覽內容,請按這裡線上閱讀
新聞  健康  財經  追星  NBA台灣  udn部落格  udnTV  讀書吧  

2019/04/24 第431期  |  訂閱/退訂  |  看歷史報份  |  能力雜誌網站

精選文章 2019年資安3大風險
商標權停看聽 品牌國際化必修課
 

2019年資安3大風險
文/趨勢科技

趨勢科技發表《2019資安年度預測報告》,針對網路安全威脅與網路犯罪攻擊趨勢,提出3大重點警示:憑證資料外洩遭盜用詐騙事件將不斷增加、網路釣魚攻擊手段將取代漏洞攻擊套件成為主要攻擊手法,以及工控系統的安全性持續受到威脅。

趨勢科技台灣區暨香港區總經理洪偉淦表示:「回顧2018年全球資安政策推動,可觀察到各組織及企業對於資料安全的重視;重大資訊安全事件的發生亦凸顯連網裝置普及所面臨的資安問題。預期在2019年企業和組織將導入更多連網設備,而連網速度也將大幅提昇,資訊安全面臨更廣泛與多元的挑戰,不僅企業對於資訊安全團隊的需求更提高,多層式智能防護的資安政策也會在企業經營中扮演關鍵的角色,企業領導人對於網路安全的重視及培養經營團隊資安意識,更是建構自身企業網路安全防護架構的重要基石。」

警示1》慎防機密個資外洩

憑證填充攻擊(Credential Stuffing)是一種利用殭屍網路(Botnet)大軍,使用大量外流的電子郵件地址和密碼,自動化地以疲勞轟炸的方式不斷試圖登入各大熱門網站的攻擊方式。根據美國波耐蒙研究所(Ponemon Institute)與阿卡邁科技公司(Akamai Technologies)的憑證填充攻擊報告指出,憑證填充攻擊事件與嚴重性將持續增多、加深。根據過去幾年來資料外洩事件產生的後續影響,加上民眾在各大網路服務上重複使用相同密碼的習慣,趨勢科技團隊預測2019年將有更多運用憑證的詐騙交易。

此種攻擊對於消費者所造成的直接影響,可能出現在信用卡哩程累積回饋被盜用,或者個人社群帳號遭入侵、利用,以散播惡意評論等;而在企業端方面,除了業務營運受到波及、商譽受損,甚至可能因未善盡資料保護義務,觸犯法規而遭受罰鍰處分。趨勢科技資安預測報告進一步指出,2019年可以觀察到,以獲利為目的之網路犯罪者將利用歐盟最嚴格的GDPR規定─針對未遵守法規之企業處以2千萬歐元(約新台幣7億元),或全球總營業額4%的罰鍰這一點,藉此對企業展開攻擊竊取資料,再用以勒索高額贖金。

因此,企業也將被迫重新思考其目前以資料探勘(Data Mining)為基礎的廣告模式是否值得,因為萬一不小心違反資料保護法,其代價相當可觀。事實上,據趨勢科技預測,到了2020年,新的企業應用程式將有高達75%必須在法規遵循與安全之間做出艱難取捨。儘管隱私權和安全兩者並非不能兼顧,但保障資料隱私權的一些做法將不利於企業徹底掌握資安威脅的來源,並取得進一步的詳細資訊。

警示2》網路釣魚將達新高點

在現今多元裝置以及操作系統趨勢下,駭客將不再像以往,採取單一軟體系統層面的漏洞攻擊套件模式,而是利用社交工程(Social Engineering),廣佈式地進行網路釣魚攻擊,這是歹徒假冒信譽良好的個人或企業機構,誘騙受害者提供個人敏感資訊的一種詐騙。截至2018年第3季,按趨勢科技Smart Protection Network的統計資料,已阻擋超過2億多筆網路釣魚相關的URL,相較於2017年成長接近3倍,預期2019年會再創高點。而有別於以往偽造企業往來信件格式的手法,駭客將透過竊取員工社群網路上的資訊,提高網路釣魚詐騙信件的可信度,達到入侵企業的目的。

在針對消費者的攻擊方面,駭客除了抓住大眾對重大活動的好奇心,例如:透過2020東京奧運的時事議題來進行社交工程詐騙之外,更看上了網路紅人的傳播能力,駭客將鎖定網紅的社群帳號,並嘗試入侵取得控制權,讓網紅帳號成為駭客進行水坑式攻擊(Watering Hole)的工具,利用植入惡意程式的連結或是訊息,騙取追蹤粉絲點閱,使得粉絲遭牽連受駭,造成個人資料與財物損失。

報告同時指出,不僅是E-mail,網路釣魚的管道也開始出現在手機簡訊以及通訊帳戶上,發展出結合社交工程手法的新興網路攻擊,例如:SIM卡劫持手法(SIM-jacking),犯罪者先取得個人電話號碼和資訊,再假冒手機用戶,向電信廠商技術服務人員申辦新的SIM卡,爾後透過簡訊存取用戶的帳號資料,甚至盜用電子錢包。

此外,變臉詐騙(Business Email Compromise, BEC)依然是歹徒向企業詐財非常強大且獲利豐厚的犯罪手法。由於企業CXX高層主管遭到變臉詐騙的新聞經常在媒體上曝光,因此,網路犯罪集團未來將降低其攻擊對象的層級。例如:轉而攻擊CxO的秘書、助理,或是財務部門總監、經理之類的職務。

警示3》自動化有被駭風險

由於今日企業營運比以往更加仰賴即時數據,因此工業控制系統(Industrial Control Systems, ICS)網路必須能與企業網路連結,而ICS網路又與各式機電組件結合,包括閥門、調節器、開關和其他機電設備,不論在能源、發電、製造業及運輸業等都已相當普遍。駭客會將不安全的企業網路設備當成跳板,再移轉到最容易攻擊的ICS設備和資料庫,造成交通網絡停擺,能源供應中斷,甚至影響人身安全。

根據趨勢科技的零漏洞懸賞計畫(Zero Day Initiative, ZDI)數據顯示,關於監控與資料擷取系統(Supervisory Control and Data Acquisition, SCADA)的漏洞,大部分出現在協助顯示資料與接受操作人員指令的人機介面(Human-Machine Interface, HMI),駭客藉由駭入SCADA系統,蒐集例如:廠房設備配置圖、關鍵門檻值(Critical Thresholds)以及裝置設定等資料,進而從事後續攻擊,除了可能造成相關營運中斷,更甚者可能利用製程中的易燃物質或是重要資產以威脅生命和財產安全。

此外,商業流程入侵(Business Process Compromise, BPC)是歹徒暗中竄改企業流程以從中獲利的詐騙手法,同時也是未來企業仍將面對的風險之一。而企業自動化將使得企業更難保護其商業流程以防範BPC的攻擊。根據Forrester預測,2019年,企業自動化將導致10%的工作流失。

隨著企業有越來越多監控相關的工作皆透過軟體或線上應用程式來達成,企業若未在一開始就做好防範措施,歹徒將有更多機會可以駭入這類流程。自動化軟體很可能本身就含有漏洞,而且在與現有系統整合時也可能形成資安缺口。不僅如此,由於歹徒也會試圖尋找企業的供應商、合作夥伴或外包廠商的弱點來達成其目的,因此自動化也將為供應鏈帶來資安風險。

資安意識+工具 抵抗被駭威脅

網路安全威脅的影響隨著連網時代來臨更加無遠弗屆。不過,雖然網路威脅者開始利用人工智慧(Artificial Intelligence, AI)發動目標式攻擊,透過AI預測判定企業管理階層和特定對象的相關動向,進而取信周圍相關人士進行入侵威脅;但與此同時,資安廠商也已運用AI模擬以偵測任何潛在的網路威脅,提供企業與消費者多層式的防護。

想要抵禦駭客變化莫測的攻擊手法,趨勢科技資深技術顧問簡勝財分享資安教戰守則:「面對未來連網技術進步與跨平台連網趨勢,企業不能只依靠單一的資安工具,應採取跨世代的威脅偵測技術,在正確的時刻採取有效的防護策略;而民眾更應培養資安意識,對於電子郵件或是通訊軟體上的訊息提高警覺,降低遭受網路釣魚詐騙的風險,或可透過安裝防毒軟體協助保護個人資料與交易安全。此外,除了定期更新密碼,使用多重認證的帳密保護措施,以及密碼管理工具以保護相關憑證資訊,也有助於保護個人機密資料。」

【本文出自《能力雜誌》2019年4月號;訂能力電子雜誌;非經同意不得轉載、刊登】

商標權停看聽 品牌國際化必修課
文/馮震宇

根據2018年全球最有價值品牌之排名,Apple已連續第6年榮登Interbrand榜首,其品牌價值較2017年增加約15%,從1,841億美元增長到2,145億美元;而前3名的品牌價值都在千億美元之上,包括Google(1,555億美元)、Amazon(1,007億美元)。顯示出整體商業環境邁向網路化與電子化,由企業掌握的商標權更成為企業最重要的資產,也是企業維護其品牌的核心;但是品牌則是消費者心中的那一把尺,對企業所提供之商品或服務的評價。一旦消費者建立起對品牌的信心,不但消費者會產生重複購買行為,更可能會建立起一種無形的市場進入障礙,阻礙其他業者或是較不知名品牌的挑戰。例如:碳酸飲料由於品牌效應,消費者都只會想起可口可樂或百事可樂,這也間接阻止了其他業者進入碳酸飲料市場的機會。其他飲料業者若要成長,就只能開發其他不同的飲品,例如:茶飲料等,方能打開市場。

根據品牌諮詢公司Interbrand所進行的全球百大品牌的調查,就可以發現品牌價值幾乎每年成長,其價值遠遠超過專利。從同年度的台灣品牌觀察,就可以得知台灣品牌價值有待提升,雖然華碩也和Apple一樣,連續6年蟬聯台灣品牌冠軍,但是其品牌價值僅有16.19億美元(約新台幣501.89億元)。台灣品牌價值的成長性也是落後國際,雖然金融業的品牌價值有較大成長,但科技業表現不進反退,其中宏達電的品牌價值更大跌21%至2.67億美元,華碩、聯發科等也都下跌,凸顯出台灣發展品牌之挑戰。

星宇航空被迫改名?

正如古時作戰糧草先行一樣,企業要建構品牌王國,商標註冊一定要先行,方能擁有成功的機會。若連商標都沒有註冊,也就不可能發展品牌,「星宇航空」就是一例。創辦人張國煒早在2016年底就向媒體透露要成立「星宇航空」,但是卻未同步提出商標的申請,等到2017年中要正式向智慧局提出申請註冊「星宇航空」中、英文商標及公司Logo時,才發現「星宇」二字於2016年底已由台中松霖旅行社在第39類服務註冊取得商標權,這讓張國煒傻眼,雖然星宇提出異議,但是卻已經造成一定的影響。

「星宇航空」的例子凸顯在品牌行銷中「商標先行」的重要性,若沒有申請商標註冊,其他一切都是枉然。而要進行商標的註冊,還應掌握全球商標遊戲規則的幾個基本原則,那就是先申請主義、註冊主義與屬地主義。

所謂的先申請主義,就是以申請的先後決定商標的歸屬;註冊主義則是指必須經由各國商標主管機關的審查核准方可註冊;屬地主義則是指商標註冊僅在註冊國有效,並不擴及其他未註冊的國家。而其中先申請主義與屬地主義結合起來,就成為在各國都不斷發生的商標搶註問題的核心。若企業只單純的考慮品牌與商業模式,卻忽略商標佈局,將不可避免面臨商標法的嚴酷法律考驗。

雖然目前國際間已經發展出來國際優先權制度以及馬德里系統(Madrid System)的國際商標註冊制度(一次申請可以指定119國),但是可能對台灣業者沒有太大的幫助。因為若要主張國際優先權就必須在台灣申請日起6個月內到各國提出申請,時間非常緊迫。若是要利用國際商標註冊的馬德里系統,則台灣並非會員國,除非業者透過國外子公司處理,否則無法使用。

而在申請之前,業者也應該自行或委託事務所進行商標檢索,以了解其所欲申請的商標名稱是否已經被別人捷足先登,以免縱使申請也是枉然。

中國搶註亂象猖獗

儘早申請與事前檢索查詢在向中國申請時更為重要,這是因為中國智慧財產權制度發展較晚,再加上商標的進入門檻低、申請費用低,使得很多人都開始做起搶註商標的生意,也造成中國商標申請案件與註冊案件都占全球半數以上的畸形現象。

以2018年的統計數字為例,台灣在2018年受理商標註冊申請為8.4萬件,雖創18年新高,仍難以和中國相比,因為中國2018年的商標申請案件高達737.1萬件,獲准註冊案件也高達500.7萬件(其中479.7萬件都是中國國內申請)。這種高申請與高核准的現象,造成中國商標註冊案件暴增,到2018年底,商標註冊數量已高達1,804.9萬件。

這麼高的商標申請與註冊量,也代表很多國外商標都已經被人搶註。例如:iPhone、iPad、喬丹(包括譯音與圖形)、Tesla、New Balance、無印良品等一票國際知名品牌,都在中國面臨搶註的問題。Tesla在進軍中國之前,「特斯拉」中文就被搶先註冊,迫使Tesla只能在中國註冊拓速樂汽車銷售(北京)有限公司的公司名稱,一直到打贏商標訴訟才一統全球中文品牌名稱。

而就台商而言,許多台商也面臨商標被搶註的問題,例如:信義房屋、養樂多、統一以及許多國營企業商標,甚至長壽菸都是如此。其實不只是外資或港澳台資,縱使是中國國內的業者也難逃此等搶註的魔咒。例如:共享單車「ofo」和「摩拜」,雖然推出共享單車服務,但卻未立即申請註冊,使得其他業者得以搶先註冊ofo和摩拜之名稱,甚至在2017年ofo為了避免爭議而宣佈改名為「ofo小黃車」時,「小黃車」也早就被人註冊了。由於商標搞不定,因此其品牌也受到影響,也不可避免影響到這些公司的經營。

至於中國叫車龍頭「滴滴出行」,原本名為「嘀嘀打車」,但是該公司也是只重視商業模式與融資,沒考慮商標註冊,等到要註冊時,才發現嘀嘀已經被註冊,只能改名為滴滴。甚至微信聊天中常用的「捂臉」表情,也被人搶先申請註冊成商標;更厲害的是一家公司竟然把「阿里、京東、騰訊、百度」的首字註冊成「阿京騰百」商標,也促成阿里巴巴、京東、騰訊、百度首次聯手的紀錄。

審查的眉角3W1H

原則上申請商標註冊要符合企業的商業發展需求,切勿為了商標而商標,申請一堆商標卻沒辦法實際運用。而在申請商標之際,業者也應該要考量其自身的商標策略。最簡單的商標策略,就是要考慮何時申請(When)、在哪些國家申請(Where)、申請什麼商標(What)以及如何申請(How)等策略性因素,方能在有限的資源之下獲得最大的效果。

商標於提出申請後,各國的商標主管機關都會根據各國商標法的規定,進行實體審查。例如:台灣商標法要求要具有積極要件-識別性(Distinctiveness)以及不具有消極要件方可獲准註冊。

由於識別性有先天識別性與後天識別性(Secondary Meaning)之別,故如果不具有先天識別性,就必須證明已經取得後天識別性來符合識別性的要求。一般而言,單純的描述或說明文字、通用名稱、功能性文字或圖形或有與著名商標、已註冊商標有混淆誤認等情形時,就屬於不具識別性的情形。例如:在世大運大出風頭的「熊讚」,就因為太過通俗、過於口語化,不具有識別性而無法獲准註冊;「賽德克.巴萊」則因為是原住民族的族名而無法註冊。

又如知名的台灣設計師吳季剛雖獲得「JASON WU」及貓頭鷹設計圖商標,但申請「MISS WU」商標卻被拒絕註冊。其原因就在於姓氏一般並非作為表彰商品或服務來源的標識,不具有先天識別性,而必須證明取得後天識別性,始得註冊。後來吳季剛以媒體廣泛報導證明其已經取得後天識別性後,獲准註冊。類似的情形還包括微軟的Windows商標、麒麟一番榨啤酒等,都曾經因為不具有識別性而被駁回,但是在證明已經取得後天識別性後,才獲准註冊。

另外在申請商標時,對於商標的設計(不論文字或圖形),也應該自主設計,切勿打擦邊球或是搭便車,反而會產生偷雞不著蝕把米的窘境。

註冊後也有陷阱

很多人可能認為一旦獲准註冊後,就可以長治久安,不用擔心商標的問題了。其實這也是有很大的誤解。事實上,商標註冊之後,只是暫時穩固品牌的法律基礎,但是要成為品牌其實還有很長的一段路。更重要的,就是若不小心謹慎,已經獲准註冊的商標也可能會因種種的原因而被廢止(撤銷)。

根據經濟部智慧財產局的統計,行政救濟過程中翻案最主要的原因就在於構成「混淆認定」(高達7成以上)、其次是「3年未使用」、「惡意/意圖仿冒」、「著名商標認定或減損」等原因。

對於混淆誤認,由於目前商標法規定就著名商標只要有混淆誤認「之虞」即可,故法院實務採較廣義的解釋,以「是否有混淆或誤認之可能性存在為其構成要件,並不以實際產生混淆或誤認之事實存在為必要,是以,只要確有造成相關公眾混淆誤認之可能性存在即已足,至其可能性高低為何,並非該條規定之要件,即使如原告所述分別僅有20.2%、13.2%之民眾會產生聯想或誤認,其造成民眾混淆誤認之可能性即已存在,亦即有致相關公眾混淆誤認『之虞』」(智慧財產法院98年度行商訴字第152號行政判決)

例如:南僑公司生產的「讚岐急凍熟麵」系列商品,因為商標「SANUKI」與日文讚岐念法相同,遭智慧局撤銷。南僑公司不服並提起訴訟,但法院認為確實可能造成消費者誤認產品來自日本,駁回南僑之訴,使得南僑註冊10年的商標仍難逃撤銷的命運;馬祖的「藍眼淚」因被認為是著名商標,使得其他註冊「藍眼淚」的商標都因此被撤銷。

商標在註冊後,也要有繼續使用的事實,若3年未使用,則可能會面臨商標被廢止的命運。除了要有使用事實之外,還要注意申請內容和實際使用必須一致。因為若商標權人實際使用商標時自行變換或加附記,而與他人註冊商標發生混淆誤認之虞之情形,也將會被廢止商標。

在當下無形資產掛帥的商業環境中,企業想要在市場競爭中發展壯大,就必須重視品牌的力量。但要走好品牌之路,商標就不可忽視。由於不論從商標的命名、設計、申請與保護,都與法律息息相關,唯有做好商標的法律保護,才有可能讓品牌走得更長更久。(本文作者為政治大學法律系教授)

【本文出自《能力雜誌》2019年4月號;訂能力電子雜誌;非經同意不得轉載、刊登】

 

  免費電子報 | 著作權聲明 | 隱私權聲明 | 聯絡我們
udnfamily : news | video | money | stars | health | reading | mobile | data | NBA TAIWAN | blog | shopping