黄伟曼 报道
ngwaimun@sph.com.sg
全新的网络安全法案预计明年中提呈国会一读,新加坡网络安全局正探讨是否能在新法令下设定某种“豁免”条款,在要求管理关键信息基础设施的业者上报网络袭击事件时,也确保他们不会因此遭到罚款或惩处,以借此鼓励他们积极提供信息。
网络安全局局长许智贤昨天召开记者会介绍下个月10日起举办的首届新加坡国际网络周时,提到拟定中的新网络安全法案(Cybersecurity Bill)。
这项新法令将确保去年4月1日成立的网络安全局有足够权限去应对日益复杂的国家网络安全威胁。
这包括要求业者积极采取网络安全防卫措施,避免横跨能源与水源供应、银行与金融,以及交通等领域的关键信息基础设施成为攻击目标。
不同执法权限待改善
许智贤指出,由于目前没有一个专门针对网络安全的法令,不同领域的执法单位在要求业者上报网络袭击事件时有不同的执法权限,对待方式也不一致,必须进一步改善。他举例说:“当执照持有者发现所拥有的信息基础设施受到骇客攻击时,他们可能选择不上报,以免影响股价和公众对他们的信心……尤其若影响不是非常明显的话,通报有关当局是不符合商业利益的。”
另外,许智贤也说,在一些领域,执法单位接到通报时会展开调查,负责管理关键信息基础设施的业者因此可能面对罚款,业者自然也就选择不上报事件。网络安全局因此必须探讨是否能制定某种“豁免”或“避风港”条款(safe harbour rules),在要求业者上报所有网络袭事件时,也说服他们这么做符合他们的利益。
通讯及新闻部长雅国博士在今年4月于国会拨款委员会辩论该部门开支预算时,宣布政府正在拟定网络安全法案。新法案明年中在国会一读前,将会展开公共咨询。
现有的滥用电脑和网络安全法令已赋予执法单位相关权限,调查并缉拿与网络罪案有关联的人或公司组织等;在个人资料保护法令下,政府在保护民众个人资料方面也有一定执法权限。不过,许智贤指出,尽管两项现有法令将保留,随着网络攻击愈加复杂,政府有必要从更宏观的角度去探讨目前仍有什么“缝隙”要补,尤其是在保护关键信息基础设施方面。
他以2010年袭击伊朗铀浓缩离心机并使其瘫痪的超级病毒“震网”(Stuxnet)为例指出,目前许多重要基础设施在信息处理方面日益电脑化,并且互相连接,一旦发生攻击将会有深远影响。
首届新加坡国际网络周将从下个月10日至12日举行,届时李显龙总理将在开幕礼上勾勒出新加坡网络安全策略(Singapore’s Cybersecurity Strategy)的大方向。
系列会议预料吸引3000多名政治领导人、政府官员与业者参与,首届亚细安网络安全部长级会议也将同期举行。