新加坡政府的漏洞獎勵計劃運營卓有成效,通過漏洞獎勵與披露計劃提交的1000多份與政府系統相關的漏洞報告當中,有496份被確定真實有效。
據新加坡智能國家與數字政府辦公室(SNDGO)周二發布的年度報告顯示,新加坡政府通過漏洞獎勵和公開披露計劃收到的安全漏洞報告中,有一半已被確認爲有效。此外,公共部門過去一年記錄在案的數據安全事件也增長了44%,但沒有“高嚴重性”事件。
在截止于今年3月31日的2020財年內,新加坡政府共報告108起數據安全事件,遠超上一財年的75起。盡管事件數量有所增加,但各違規活動的嚴重程度均爲爲低級或中級。
安全漏洞的嚴重程度主要取決于事件對國家安全、國家利益、個人或企業實體的具體影響,由低到非常嚴重共分爲五個等級。
報告還指出,所有上報數據安全事件均在48小時內得到解決。
漏洞獎勵計劃卓有成效
新加坡于2020年4月成立了政府數據安全聯絡中心,希望爲公衆提供上報渠道、隨時告知涉及政府數據或政府機構的安全事件。
在運營的第一年,聯絡中心即收到119份報告,其中6起被評爲需要進一步調查的重要數據安全事件。報告指出,其余113項與政府數據無關,因此被提交至相關部門並采取應對行動——例如有用戶反映,在選擇“請勿致電”選項後,仍有網站以促銷電話及短信的形式進行騷擾。
新加坡政府還在2019年10月建立起漏洞披露計劃,普通民衆均可上報自己在面向公民及企業的公共部門在線平台及移動應用上發現的漏洞。爲了進一步確定潛在安全漏洞,新加坡政府還總結此前國防部及政府科技部的經驗,組織過多次漏洞獎勵計劃。
根據智能國家與數字政府辦公室的說明,截至2021年3月,通過聯絡中心與漏洞獎勵計劃提交的漏洞報告已達1000多份,其中496份被確認爲真實有效。
多舉措加強政府安全態勢
該辦公室表示,幾年以來推出的多項舉措增強了政府部門的整體安全態勢。他們強調,自去年10月到2021年3月31日期間推出的特權身份管理(PIM)工具也切實爲政府的商業雲基礎設施帶來了良好保護。
智能國家辦公室解釋道,“根據「雲優先」戰略的指引,越來越多的政府系統被遷移至雲端。政府商業雲PIM解決方案正是爲此而生,專爲需要廣泛訪問數據的系統管理員等特權用戶提供保護、加以監控,並防止發生未經授權的數據使用行爲。”
公共部門還在開發數據丟失保護服務,采取相關技術及流程控制方案檢測異常活動,例如在非必要情況下將大量數據下載至個人計算機的行爲。這方面服務將于2021年底全面推廣實施。
智能國家辦公室還提到,公務員們還需要爲數據安全事件的應對做好准備。新加坡決定于今年9月正式啓動中央信息通信技術與數據事件管理演習,屆時將有四家部委參與首輪安全演習活動。
相信這一切,將成爲各政府機構每年定期舉行的網絡與數據安全事故演習的良好補充。
上報數據泄露和網絡犯罪數量倍增
從去年的情況看,負責監督新加坡個人數據保護法(PDPA)執行工作的個人數據保護委員會收到的投訴量最大。報告指出,個人數據保護委員會收到約6100起投訴,遠高于2019年的4500起及2018年的2700起。
由于公共部門不受個人數據保護法的約束,因此以上投訴可能主要涉及關于私營組織的潛在數據泄露事件。
去年上報的網絡犯罪案件幾乎占新加坡本土犯罪總數的一半,而且勒索軟件與僵屍網絡攻擊都出現了大幅增長。本月初發布的《新加坡網絡格局報告》顯示,新加坡計算機應急響應小組(SingCERT)共處理9080起案件,高于2019年的8491起及2018年的4977起。
上報的勒索軟件攻擊數量較2019年的35起同比增長154%,達到89起。此類攻擊主要影響到制造、零售及醫療保健等行業內的中小型企業。
參考來源:zdnet.com