根據法案,網絡安全總監可授權網安局人員展開調查,不配合指示者,可被罰款2萬5000元或坐牢最長兩年。
政府擬議設立的網絡安全法將授權網絡安全局在發生網絡襲擊時立即展開調查,並能在必要時向受影響單位要求提供事故報告及其他關鍵資料,避免攻擊作出進一步傷害或破壞,並防止類似事件再次發生。
通訊及新聞部預計今年底在國會提呈網絡安全法案。網安局昨天起至8月3日,公開征詢國人對法案的看法。法案將建立起能夠監督及維護我國網絡安全的框架,以降低網絡威脅的風險,並確保我國能夠更好地對付網襲。
法案一旦生效,法案的條例將淩駕于保護資料與隱私的條例。在網襲發生時,網絡安全總監(Commissioner of Cybersecurity)可授權網安局人員展開調查,受影響單位必須在網襲一個小時內通知網絡安全總監,也須配合當局指示,包括允許調查人員進入受影響場所以及登陸電腦獲取重要資料。不配合調查或無視調查人員指示者,可被罰款2萬5000元,或坐牢最長兩年。
網絡安全總監一職將由網安局局長擔任。
立法保護關鍵信息基礎設施
全球最近遭受多個網襲,包括入侵美國與歐洲多個國家的醫療、交通與能源等關鍵信息基礎設施(Critical Information Infrastructure,簡稱CII)的勒索病毒Wannacry及Petya。
網安局局長許智賢指出,我國近期雖未受到嚴重網襲,但本地關鍵信息基礎設施依然脆弱,一旦受到攻擊就會對我國人民的生活、商業活動以及保安造成重大影響。我國的關鍵信息基礎設施(CII)遍布11個領域,包括通信、銀行與金融、能源、水資源、媒體、海陸空交通等。
許智賢說:“現有的電腦和網絡安全法令主要集中在網絡犯罪這一部分,而新法案將集中在網絡安全,並以CII爲中心。”
他指出,目前的做法是在發生網襲後采取行動,但新法案將讓當局預先做好准備,在發生網襲前提高安全水平。
第三方業者須申請執照
法案規定CII負責方必須定期進行風險評估,以及授權網絡安全總監指定的第三方業者定期進行系統審核。
法案也建議,提供侵入測試或管理安全操作服務的第三方業者必須申請執照。同時,提供調查服務的人員,須申請個人執照。違例者一旦罪成,可坐牢最長兩年,或罰款5萬元,或兩者兼施。
電腦系統安全公司賽門鐵克(Symantec)亞洲首席技術官楊照龍受訪時指出,隨著更多跨國公司和政府網站近期遭受網襲,網絡安全法案來得正是時候。
他說:“網絡威脅景觀不斷改變,相關法律也應與時並進。考慮到新加坡在數碼經濟貿易中占有很大的份額,本地需要新的法案來有效對付新冒出的威脅,特別是與保護CII以及隱私方面相關的條例。”
網絡安全公司趨勢科技(TrendMicro)新加坡總經理佘仰明指出,法案明確概述政府及私人企業應負起的責任,是我國對付網襲的下一個裏程碑。
他說:“保護CII是法案中最重要的環節。隨著我國正迅速成爲智慧城市,國人越來越依賴互相連接的智能系統,確保這些系統得到足夠的保護至關重要。”
佘仰明也說,法案一旦生效,衆多企業和個人需要適應不少新條例,包括需要申請執照的業者。“不過這將提高業界水平以及確保服務的一致性,我相信這也是制定清晰、敏捷和系統化網絡安全戰略的必要步驟。”
關于網絡安全法案的內容,可上https://www.csa.gov.sg/或www.reach.gov.sg閱讀詳情。想提意見或反饋的公衆,可在8月3日前把意見電郵到[email protected]。