针对网袭事件进行改进 国防部采取分层框架 加强监管供应商网安措施

订户

字体大小:

国防部经历服务供应商遭恶意软件侵袭,导致人员资料可能外泄事件后,将采取网络安全分层框架,加强对供应商的监管。

分层框架将确保处理较敏感数据的供应商接受更严格的网安标准,这可能包括定期审查。

国防部长黄永宏医生前天(6日)就国防部供应商网络遭入侵一事在国会以书面答复议员提问时,透露国防部采取的改进措施。他指出,国防部在事发前就已经采取的一些保护措施包括,在所有涉及个人资料的新合约中加入个人资料保护条款,以及与供应商把这些条款逐步写进现有合约里。

受访业者:有关机构可根据框架对供应商进行网安评估

当局并未就拟采取的网络安全分层框架透露更多细节。受访业者指出,框架的内容可能涵盖数据库安全的相关标准,包括如何处理数据、使用数据人员的认证、终端机安全措施,以及便于追踪的审计线索。

保安供应商安世科安防科技(Ademco Security)董事经理许福威接受《联合早报》访问时举例说:“如果供应商供应的是军靴,经手的数据不那么关键,可能被列在较低风险的层级。但如果供应商经手的是人员资料,或是国防部设施、军营、楼房用途等资料,可能就被归入较高的风险层级。”

雇用服务供应商的机构可根据框架,对供应商进行网安评估。新加坡国立大学电脑学院信息系统与分析系副主任阿特雷伊教授(Atreyi Kankanhalli)受访时说:“这些机构可以通过给供应商发送问卷、实地评估、查阅供应商文档,甚至对最高级别的供应商进行防渗透测试,来评估供应商的网络安全能力。”

国防部宣布采用网安分层框架,反映公共和私人机构越来越积极确保供应商落实适当的网安保护措施。精通数据保护的科技律师佩特德(Anne Petterd)说:“要求供应商保护数据的合约条款固然重要,但远远不足。一个机构若要显示它为供应商制定了适当的网络卫生(cyber hygiene)守则,就必须指出所需的保护准则,并定期检查,确保供应商遵守这些规定。”

国防部去年12月透露,两家服务供应商——新科物流和新康国际卫生科学院的电脑系统遭恶意软件侵袭。

第一起事件中,约2400名人员的个人资料可能已经外泄。第二起事件中受影响的有9万8000名人员,但数据泄漏的可能性很低。国防部已从12月21日起通知受影响人员。

两起事件中,国防部和武装部队的电脑系统和运作都不受影响。

Eversheds Harry Elias律师事务所网络安全、隐私和数据保护部门主任林建金指出,供应商,尤其是中小企业一般上因为成本问题,网络健全程度相对较低,容易成为网袭目标。

熟悉科技法和数据保护的品诚梅森(Pinsent Masons)律师行合伙人陈川首指出,人员缺乏培训和对一些经包装的威胁不设防,是供应商应对网络威胁常见的不足。他强调,网络安全不单是科技问题,人员的培训和警惕更显重要。

LIKE我们的官方面簿网页以获取更多新信息

网友评论