更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全2月13日訊 新加坡國會2018年2月5日通過《網絡安全法案》,這項法案旨在加強保護提供基本服務的計算機系統,防範網絡攻擊。該法案提出針對關鍵信息基礎設施(CII)的監管框架,並明確了 CII 所有者確保網絡安全的職責。此外,這項法案還授權新加坡網絡安全局(簡稱CSA)管理和響應網絡安全威脅和事件,並建立網絡安全信息共享框架。該法案的另一個目標是爲網絡安全服務提供商建立“寬松”的許可框架。
關鍵信息基礎設施(CII)所有者須通報網絡安全事件
根據該法案,直接爲國家安全、國防、外交關系、經濟、公共衛生、公共安全或公共秩序提供基本服務的計算機系統所有者必須通報系統相關網絡安全事件,並履行其它法定義務。CII所有者必須遵守行爲准則,符合行業標准,進行網絡安全審計和風險評估工作,並參與網絡安全演習。
新加坡通訊及新聞部長雅國2018年2月5日在這項法案進行二讀時表示,全球網絡攻擊不斷發生,新加坡須強化安全保護工作,尤其確保一些必要的服務不會因爲網絡攻擊而被迫中斷。被點名須加強合作的關鍵網絡安全信息基礎設施領域包括能源、交通、醫療保健、銀行與金融、航空等。如果 CII 所有者履行義務,將不會因網絡安全事件面臨懲罰,但違例者將面臨最高10萬新元的罰款,或兩年監禁,亦或二者並罰。
CSA 的行政長官將被任命爲網絡安全專員實施這項法案。
部分網絡安全服務企業須取得執照
該法案還提出一個許可框架,它將適用于提供以下兩種網絡安全服務的提供商:
滲透測試服務
管理網絡安全營運中心
雅國表示,這些網絡安全服務提供商可獲取客戶的敏感信息,它們提供的服務在市場上相對主流,因此會對整個網絡安全格局産生重大影響。提供網絡安全滲透測試服務或管理網絡安全營運中心的企業必須申請執照。違例者將面臨最高5萬新元的罰款,或兩年監禁,亦或二者並罰。雅國表示,該許可框架相對寬松,因爲作爲一項新舉措,有必要在行業發展和網絡安全需求之間保持良好的平衡。
關注隱私:賦予網絡安全專員特殊權力
新加坡碧山大巴窯集選區國會議員 蘇巴特 表示,有人持保守意見,稱新加坡當局的調查會侵犯個人隱私,是否有相應措施確保調查權不被濫用。另外,新加坡國會議員 畢丹星 指出,這項法案賦予網絡安全專員和任何授權官員獲取、清除或複刻硬盤的權力。
面對幾名國會議員提出的隱私問題,雅國表示,這項法案賦予的權力並不是有意侵犯隱私。相關措施和要求在本質上主要考慮的是技術性、操作性或程序性。例如,CII 所有者可能需要采用網絡周邊防禦設備,例如防火牆,或定期對系統進行漏洞掃描,以發現潛在的漏洞。這些措施在個人隱私方面是非入侵性的。
有些議員提出,爲了符合當局所制定的網絡安全要求,合規成本將會升高,最終轉嫁給消費者。
至于企業滿足新規産生的費用,雅國表示,許多 CII 所有者已部署相關網絡安全措施。對于某些必須增強網絡安全態勢滿足法案要求的 CII 所有者而言,會存在費用問題。但新加坡政府將會與行業監管機構合作簡化網絡安全審計和事件報告流程,盡可能協調這項法案的網絡安全要求,但不會提供資金支持。如果遵循良好的設計安全實踐,從長遠來看,新加坡的組織機構將以更少的支出解決網絡安全問題。