國防部經曆服務供應商遭惡意軟件侵襲,導致人員資料可能外泄事件後,將采取網絡安全分層框架,加強對供應商的監管。
分層框架將確保處理較敏感數據的供應商接受更嚴格的網安標准,這可能包括定期審查。
國防部長黃永宏醫生前天(6日)就國防部供應商網絡遭入侵一事在國會以書面答複議員提問時,透露國防部采取的改進措施。他指出,國防部在事發前就已經采取的一些保護措施包括,在所有涉及個人資料的新合約中加入個人資料保護條款,以及與供應商把這些條款逐步寫進現有合約裏。
受訪業者:有關機構可根據框架對供應商進行網安評估
當局並未就擬采取的網絡安全分層框架透露更多細節。受訪業者指出,框架的內容可能涵蓋數據庫安全的相關標准,包括如何處理數據、使用數據人員的認證、終端機安全措施,以及便于追蹤的審計線索。
保安供應商安世科安防科技(Ademco Security)董事經理許福威接受《聯合早報》訪問時舉例說:“如果供應商供應的是軍靴,經手的數據不那麽關鍵,可能被列在較低風險的層級。但如果供應商經手的是人員資料,或是國防部設施、軍營、樓房用途等資料,可能就被歸入較高的風險層級。”
雇用服務供應商的機構可根據框架,對供應商進行網安評估。新加坡國立大學電腦學院信息系統與分析系副主任阿特雷伊教授(Atreyi Kankanhalli)受訪時說:“這些機構可以通過給供應商發送問卷、實地評估、查閱供應商文檔,甚至對最高級別的供應商進行防滲透測試,來評估供應商的網絡安全能力。”
國防部宣布采用網安分層框架,反映公共和私人機構越來越積極確保供應商落實適當的網安保護措施。精通數據保護的科技律師佩特德(Anne Petterd)說:“要求供應商保護數據的合約條款固然重要,但遠遠不足。一個機構若要顯示它爲供應商制定了適當的網絡衛生(cyber hygiene)守則,就必須指出所需的保護准則,並定期檢查,確保供應商遵守這些規定。”
國防部去年12月透露,兩家服務供應商——新科物流和新康國際衛生科學院的電腦系統遭惡意軟件侵襲。
第一起事件中,約2400名人員的個人資料可能已經外泄。第二起事件中受影響的有9萬8000名人員,但數據泄漏的可能性很低。國防部已從12月21日起通知受影響人員。
兩起事件中,國防部和武裝部隊的電腦系統和運作都不受影響。
Eversheds Harry Elias律師事務所網絡安全、隱私和數據保護部門主任林建金指出,供應商,尤其是中小企業一般上因爲成本問題,網絡健全程度相對較低,容易成爲網襲目標。
熟悉科技法和數據保護的品誠梅森(Pinsent Masons)律師行合夥人陳川首指出,人員缺乏培訓和對一些經包裝的威脅不設防,是供應商應對網絡威脅常見的不足。他強調,網絡安全不單是科技問題,人員的培訓和警惕更顯重要。