新加坡金融管理局昨天宣布这项强制性规定,并规定受监管的金融业者必须在一年内实行六项安全措施。我国将是首个对金融业者实行上述规定的国家应对网安风险。
明年8月起,银行、证券行、电子支付平台、加密货币业者等必须遵守新的网络安全条规,它们必须采取网安措施,以应对不断上升的网络风险趋势。
新加坡会是首个对金融业者实行上述规定的国家。
新加坡金融管理局昨天(8月6日)宣布了这项强制性规定,并规定受监管的金融业者必须在一年内实行六项安全措施。
这些安全措施包括:建立并实施良好的安全系统、及时解决系统安全漏洞问题、部署安全设备、降低恶意软件侵入的风险、加强系统管理员账户的安全性,以及加强关键系统的身份验证方式。
在这项规定于2020年8月6日生效之前,金融业者有一年的时间来实施这些措施。
今年5月出任金管局助理局长(科技)的黎日臣接受《联合早报》访问时,重申网络安全对金融领域的重要。
“和其他行业相比,我认为如果金融领域发生网络袭击事件,这个影响力不仅大,而且能立即感受冲击。”
世界各地多年来不断发生网络袭击事件。美国商业银行第一资本投资国际集团(Capital One)上周一传出被黑客攻破防火墙的消息,1亿多名用户账号和信用卡申请信息被盗取。
在本地方面,新加坡保健集团(SingHealth)去年也发生我国历来最严重的网络袭击。约150万名病人的个人资料被盗,还有约16万人的门诊配药记录泄露,这包括李显龙总理与数名部长的记录。
问及本地事件有否加快推出规定的步伐,黎日臣表示,有关当局早前已经开始探讨这么做了。
“这些事件倒是证明我们打算采取的措施是正确的。当越多的事件发生时,我们对推出规定的信念更坚定。”
金管局近年来和业界人士探讨如何应对网络威胁。它去年9月展开为期一个月的公开咨询,再和利益相关者商讨后,最终决定实施这六项措施的规定。
这些规定是金管局早前推出科技风险管理指导原则的关键部分。
新规定不仅涵盖银行、保险公司和证券行。由于本地本月将开启数码银行的大门,而且付款服务法令明年初生效,因此如数码银行、电子钱包业者、加密货币平台也得遵守这些规定。
黎日臣说,其实大型业者早已经实行这些措施,因此受这些规定影响的是中小企业,以及即将进场的业者。
“如果我们看一看世界和本地发生的网络袭击事件,发现超过九成是因为企业基本网络安全措施做得不够。”
本地三家银行早前受询时指出,它们已实施网络安全措施。
至于这六项措施是否足以抵抗网袭事件,黎日臣认为,这至少能够让不法之徒在干案时更加困难。不过,最重要的环节还是在于个人行为。
除了面向金融业者,黎日臣说当局也在探讨如何向大众推广网络安全的概念。
学者:有助保障用户利益
新加坡国立大学治理制度与机构研究中心主任卢耀群副教授告诉早报,印象中确实尚未听过有监管机构就此实行规定。
“此举显示新加坡走在前端,并且能巩固金融枢纽的地位。”
他补充,随着更多金融服务兴起,要求企业实行这类措施是良好的切入点,以保障用户利益。
Liquid Pay母公司Liquid集团首席科技官昆兰(Matt Quinlan)对这项宣布表示欢迎。
“当局实行规定前,集团已经采纳科技风险管理指导原则中的所有措施。”
加密货币交易平台Coinhako首席科技官翁伟辉也说,平台采用的网络安全措施符合当局标准。他表示,平台多年来都成功抵御黑客袭击。
“当局设立的框架,能够提振市场对区块链和加密货币在网络安全方面的信心,并能带动散户和机构投资者的兴趣。”
赞
