黃順傑 報道
隨著企業持續推進數碼轉型,它們面臨的網絡風險也日益凸顯,但要應對網安挑戰就得投入可觀資源,這對疲于應對疫情沖擊的企業將構成不小壓力。
新加坡網絡安全局局長許智賢接受《聯合早報》專訪時說,他能體諒企業的難爲之處,但他提醒,企業若因防禦不周而遭到網襲,恐怕得賠上更慘重的代價。
“我們經常會問,網絡安全的成本是什麽?我們可能也得問另一個問題,那就是網絡襲擊的代價是什麽?”
許智賢說,一旦遭到網襲,企業善後時除了須投入聘請顧問、提升網安能力、添置新設備等直接成本,可能還得賠上聲譽等無形的代價。他建議企業主管根據業務性質評估網安風險,再按照風險程度采納相應的網安保障。
“許多企業都講求信譽,若一旦遭到網襲,企業恐怕將毀于一旦,這不是沒有前例。”
根據國際商業機器公司(IBM)的一項調查,2020年全球網襲事件對企業機構的平均成本,爲386萬美元(約520萬新元),較前一年少了1.5%。
企業的網安能力,是抵禦網襲威脅的關鍵一環。爲確保企業,尤其是與我國11個關鍵信息基礎設施領域相關的企業不成爲網安破口,政府上月已在國會撥款委員會辯論時宣布推出“關鍵信息基礎設施供應鏈計劃”(Critical Information Infrastructure Supply Chain Programme),專門管理那些爲關鍵信息基礎設施提供産品與服務的公司,包括可能要求它們在不達標時賠償損失或終止合約。計劃詳情將于今年第三季公布。
關鍵信息基礎設施領域是:政府、安全與緊急、醫療保健、媒體、銀行與金融、能源、水、資訊通信、海事、航空,以及陸路交通。
另外,政府也將在網絡安全法令下,對網安服務供應商制定管制框架。許智賢說,網安局將開始咨詢業界,並在今年內公布更多詳情。
根據英國經濟學人智庫今年2月發布的報告,全球近半數企業高管擔心公司受到由國家支持的黑客襲擊。他們也認爲這類網襲風險將在未來五年持續升高。
“一些國家”網襲能力高我國須具備快速應對技術
本地機構也是這類黑客下手的目標,其中最令人印象深刻的,要屬2018年遭網襲的新加坡保健服務集團。當時該集團約150萬名病人的個人資料被盜,受害者包括李顯龍總理和數名內閣部長。
網安公司賽門鐵克(Symantec)2019年曾公開指由特定國家支持的黑客組織“白蠅”(Whitefly)是入侵新保集團的禍首,但公司並未公布涉事國家的身份。
身兼我國網絡安全總監的許智賢受訪時未點名任何國家,但他提到,“一些國家”有非常先進的網絡攻擊能力,“用來對付其他國家”,而新加坡能做的,是確保我們能夠迅速偵測網襲,並具備快速應對和恢複系統的技術能力。
他強調,這也是爲什麽我國在聯合國等國際平台上,針對網絡領域積極倡議建構一個基于規則的國際秩序,並提倡負責任的國家行爲。
他指出,網絡安全是一個國際問題,不是個別國家可以單獨處理的問題。
“我常告訴我的同事,新加坡即使在網安方面領先東南亞,也沒什麽好得意的。我們真正的挑戰是全世界。”