政府考虑要求关键信息基础设施业者扩大和加强网络安全监管,即便是非关键系统,日后也须符合更严格的安全标准。当局也会为业者提供政府开发的威胁侦测工具,以助他们加强防范和应对网络攻击。
数码发展及新闻部兼卫生部高级政务部长陈杰豪,星期一(3月2日)在国会拨款委员会辩论数码部的开支预算时,作出以上宣布。
他透露,网络攻击者也开始针对关键信息基础设施(Critical Information Infrastructure)的非关键系统发动袭击,因为非关键系统的防护相对薄弱,且与关键系统相连,可能成为攻击关键信息基础设施的突破口。
关键信息基础设施涵盖能源、水供、医疗、银行、媒体等11个重要领域。
陈杰豪说,关键信息基础设施业者毕竟不是网安专家,却得面对有国家在背后资助的黑客威胁,挑战巨大。“其中一名业者曾告诉我,这宛如拿着刀投入枪战。我理解他的观点。”
政府因此将帮助关键信息基础设施业者提高应对高级持续性威胁(Advanced Persistent Threat)网袭的能力。
陈杰豪指出,当局不仅计划与关键信息基础设施业者分享部分网络威胁机密情报,也会为它们配备专用的网络威胁侦测系统,以提高业者识别恶意网袭的能力,尤其是侦测有国家在背后资助的黑客威胁。
当局已开始在部分关键信息基础设施中部署这些网安工具,并会逐步推广。由于采用新工具可能会提高成本,当局将视需要考虑为业者提供补贴。
陈杰豪也提醒,即便采取多项防范措施,“我们须做好准备,仍会有一些威胁没能被察觉”。各方因此必须时刻保持警惕,不断提升自身能力。
我国电信网络去年曾遭黑客组织UNC3886袭击,所幸及时被遏制,未干扰电信服务。这个组织据信有国家资助。袭击事件引起外界对关键基础设施网安的关注。
新加坡网络安全局计划于今后几年继续为关键信息基础设施的公司高层提供培训,分享如何应对网袭。
网络安全战略领导力计划为公司高管授课 反响积极
网安局和新加坡管理大学于2021年推出的网络安全战略领导力计划(Cybersecurity Strategic Leadership Programme),至今已为74名公司高管授课,反响积极。
为提高整体网安水平,关键信息基础设施业者、为关键信息基础设施进行审查的机构,以及持牌的网络安全服务供应商,接下来也须取得网络安全信誉标志(Cyber Trust Mark)。
关键信息基础设施业者有两年时间准备,以最迟于2027年底,为公司的非关键系统取得第五级网络安全信誉标志认证。
为关键信息基础设施进行审查的机构,则须最迟于今年底获得第五级网络安全信誉标志,才能继续提供服务。持牌的网络安全服务供应商须于年底前取得第三级网络安全信誉标志认证。
网络安全信誉标志是政府推出的认证制度,评估机构采取的网安措施和良好做法分五个等级,第五级为最佳。
安永亚细安网络安全主管林耀杰接受《联合早报》访问时说,网络威胁不断升级,各机构须更主动地制定网安政策,并根据实际情况及时做出调整。通过网络安全信誉标志建立统一的网安标准,不仅可为保护敏感数据和关键基础设施提供清晰的全国指导方针,也有助增强业界和客户之间的信任。
林耀杰说:“尽管合规可能会涉及成本上升,但企业须意识到,一旦遭网络攻击,造成数据外泄或声誉受损等后果,企业所蒙受的损失,将远高于它们在治理和风险管理上的投入。”
