“關鍵信息基礎設施供應鏈計劃”新計劃的細節今年第三季公布,將以保障、透明、問責爲三大指導原則。通訊及新聞部高級政務部長普傑立說,長期而言,關鍵信息基礎設施領域與企業須采取“零信任”的網安思維。
最近發生的網絡襲擊事件再次凸顯網絡安全的重要性,政府推出新計劃,管理那些爲關鍵信息基礎設施提供産品與服務的公司,包括可能要求它們在不達標時賠償損失或終止合約。
通訊及新聞部高級政務部長普傑立醫生昨天(3月2日)在國會撥款委員會辯論該部門開支預算時,宣布推出“關鍵信息基礎設施供應鏈計劃”(Critical Information Infrastructure Supply Chain Programme)。
他說,美國軟件公司SolarWinds與本地新電信的供應商先後遭網襲的事件顯示,擁有關鍵信息基礎設施的企業與機構須更了解供應商的作業,以辨識結構性風險,提升供應商的網安水准。
本地有11個關鍵信息基礎設施領域:政府、安全與緊急、醫療保健、媒體、銀行與金融、能源、水、資訊通信、海事、航空,以及陸路交通。它們須按網絡安全法令維持一定程度的網安。
普傑立說,長期而言,關鍵信息基礎設施領域與企業須采取“零信任”的網安思維。
“具體來說,關鍵信息基礎設施擁有者在還未證實網絡當中的數碼活動之前,不應該相信這些活動。它們也應該持續驗證、及時測出異常現象,以及證實網絡中的交易。”
新計劃的細節今年第三季公布。根據通訊及新聞部,計劃將以保障、透明、問責爲三大指導原則。
就保障而言,關鍵信息基礎設施擁有者與供應商須遵守按最佳做法與國際標准制定的安全規定;要維持透明,供應商須報告能符合要求的程度,並設法彌補無法達標的缺口。
至于問責,如果供應商達不到保障或透明的要求,可能得面對後果,如賠償損失或終止合約。
在信息安全與數碼信任領域具備20多年經驗的安永咨詢合夥人莊健恩接受《聯合早報》訪問時說,要成爲可靠又有韌性的企業,不只是要會利用科技,企業文化與作業流程也須轉型。
下月展開業界咨詢 網安局料明年推出信譽標志
“領導層的語調須與投資方向吻合,要投資在對的科技、對的流程改造、對的文化轉變。”
新加坡金融管理局助理局長(科技)黎日臣則說,軟件開發過程高度專業,金融機構不可能花時間與金錢開發自己的軟件。
“無論使用自家軟件或向供應商采購,關鍵信息基礎設施擁有者須爲信息系統與數據的保密性、完整性與有效性負起最終責任。”
另一方面,政府將推出一系列計劃協助企業加強網安,包括名爲“新加坡網絡安全信譽標志”(SG Cyber Safe Trustmark)的認證計劃,以辨識有良好網安措施的企業。
網絡安全局下個月展開業界咨詢,預計明年推出信譽標志。
提供集裝箱運輸系統的起步公司豪率(Haulio)爲了讓客戶,尤其是跨國企業感到安心,在公司成立的四年內就申請到有關信息安全的國際認證ISO27001。
如今政府有意推出本地的認證計劃,公司創辦人兼産品總監沈昇輝受訪時說,這或許能推動更多對數碼轉型裹足不前的企業采納科技。“有一套獲認可與經審查的標准,能幫助這些企業理解我們在網安下的功夫,放心與像我們這樣的供應商合作。”