网络安全形势巨变,当局将在明年第一季更新网络安全行为准则,包括要求关键信息基础设施运营商加强对这些设施及相邻系统的监督和责任,并接受培训。
数码发展及新闻部长杨莉明与公共服务统筹部长兼国防部长陈振声,星期三(11月12日)视察第四届关键基础设施防御演习(Critical Infrastructure Defence Exercise,简称CIDeX)后,接受媒体访问。
政府10月已在新加坡国际网络周上宣布,将主动与关键基础设施运营商共享一些情报,以应付日益严峻的网络威胁。这些关键领域包括:能源、银行与金融、医疗保健、交通运输和媒体。
杨莉明说,由于高级持续性威胁(Advanced Persistent Threats,简称APT)攻击者会不择手段地削弱我国的数码基础设施,窃取数据或扰乱服务,与关键信息基础设施运营商共享情报,有助他们了解当下隐患,进而采取必要保障措施。
APT指的是一种持久、隐蔽且目标明确的网络攻击形式,通常由国家级黑客组织或高水平的黑客团队展开,以获取敏感的信息和情报,或控制目标系统。2021年至2024年,我国遭疑似APT攻击的案例激增近四倍,其中包括代号UNC3886的黑客组织。
为了与时俱进,杨莉明进一步指出,2022年的网络安全行为准则将更新,其中将加入两项新要求:关键信息基础设施运营商的董事会须实行更严格的监督;董事会成员也得接受网络安全培训,并确保首席信息安全官能直接向董事会上报,获得必要的资源和支持。
我国于2018年通过网络安全法令,2024年修订。其中,关键信息基础设施运营商须为供应链中的外包和离岸基础设施负责,包括向当局提供网安相关信息、遵守行为准则,以及通报相关的网安事件。
关键基础设施防御演习新工大举行
本届关键基础设施防御演习于星期二(11日)至星期五(14日)在新加坡理工大学举行,由国防数码防卫与情报军部队与新加坡网络安全局联办,吸引其他33个政府机构和企业参与,共250多名数码防御人员出席,规模迄今最大。
这次演习也首次齐聚11个关键信息基础设施领域人员。
陈振声说,演习主要围绕三个目标,即提高警惕、统一行动和加强韧性。“我们所有人都在网上互联,网络强度实际上取决于最薄弱的一环。若网络的任何部分被攻破,整个网络都会受波及。”
他指出,演习不仅有军方代表,也有来自民间、政府和私营机构的人员,面对不断演变的网络威胁,全国须共同防卫。关键系统不可能永远不被入侵,各方应思考如何作为一个整体快速响应,并尽快恢复运作。
