黃偉曼 報道
全新的網絡安全法案預計明年中提呈國會一讀,新加坡網絡安全局正探討是否能在新法令下設定某種“豁免”條款,在要求管理關鍵信息基礎設施的業者上報網絡襲擊事件時,也確保他們不會因此遭到罰款或懲處,以借此鼓勵他們積極提供信息。
網絡安全局局長許智賢昨天召開記者會介紹下個月10日起舉辦的首屆新加坡國際網絡周時,提到擬定中的新網絡安全法案(Cybersecurity Bill)。
這項新法令將確保去年4月1日成立的網絡安全局有足夠權限去應對日益複雜的國家網絡安全威脅。
這包括要求業者積極采取網絡安全防衛措施,避免橫跨能源與水源供應、銀行與金融,以及交通等領域的關鍵信息基礎設施成爲攻擊目標。
不同執法權限待改善
許智賢指出,由于目前沒有一個專門針對網絡安全的法令,不同領域的執法單位在要求業者上報網絡襲擊事件時有不同的執法權限,對待方式也不一致,必須進一步改善。他舉例說:“當執照持有者發現所擁有的信息基礎設施受到駭客攻擊時,他們可能選擇不上報,以免影響股價和公衆對他們的信心……尤其若影響不是非常明顯的話,通報有關當局是不符合商業利益的。”
另外,許智賢也說,在一些領域,執法單位接到通報時會展開調查,負責管理關鍵信息基礎設施的業者因此可能面對罰款,業者自然也就選擇不上報事件。網絡安全局因此必須探討是否能制定某種“豁免”或“避風港”條款(safe harbour rules),在要求業者上報所有網絡襲事件時,也說服他們這麽做符合他們的利益。
通訊及新聞部長雅國博士在今年4月于國會撥款委員會辯論該部門開支預算時,宣布政府正在擬定網絡安全法案。新法案明年中在國會一讀前,將會展開公共咨詢。
現有的濫用電腦和網絡安全法令已賦予執法單位相關權限,調查並緝拿與網絡罪案有關聯的人或公司組織等;在個人資料保護法令下,政府在保護民衆個人資料方面也有一定執法權限。不過,許智賢指出,盡管兩項現有法令將保留,隨著網絡攻擊愈加複雜,政府有必要從更宏觀的角度去探討目前仍有什麽“縫隙”要補,尤其是在保護關鍵信息基礎設施方面。
他以2010年襲擊伊朗鈾濃縮離心機並使其癱瘓的超級病毒“震網”(Stuxnet)爲例指出,目前許多重要基礎設施在信息處理方面日益電腦化,並且互相連接,一旦發生攻擊將會有深遠影響。
首屆新加坡國際網絡周將從下個月10日至12日舉行,屆時李顯龍總理將在開幕禮上勾勒出新加坡網絡安全策略(Singapore’s Cybersecurity Strategy)的大方向。
系列會議預料吸引3000多名政治領導人、政府官員與業者參與,首屆亞細安網絡安全部長級會議也將同期舉行。