近日来,新加坡为了应对日益严峻的网络安全风险,金融管理局已推出了修订版的科技风险管理指导原则。
修订版的最新科技风险管理指导原则要求金融机构进一步加强监督第三方服务供应商,并确保系统安全、并同时维持资讯的机密性与完整性。
新加坡金融管理局在2021年1月18日发文告指出,经过修订的指导原则主要针对金融机构愈来愈常使用的云端科技、应用编程接口API技术以及快速应用程序开发,所带来的网络安全风险问题。 修订版的指导原则进一步强调了金融机构在进行技术开发以及部署的过程中,必须将安全监控视为重要的一环。
金管局说,最近一连串针对供应链的网络攻击,清楚显示了网络威胁日益恶化。因此金融机构更需要作出完备的措施进行有效的防范。 这一系列的网络攻击,是通过利用广泛使用的网络管理软件来针对多个IT服务提供商。
这就清楚地表明了网络威胁环境的恶化。因此,修订版指导原则为金融机构设定了必要的风险缓解策略。 修订后的指导原则因此要求金融机构必须建立一个健全的流程,能及时分析,同时与整个金融生态系统共享网络威胁的信息。
金融机构也必须进行模拟网络攻击,测试各自的网络防御能力。
新原则要求金融机构定期根据不同情况,例如“钓鱼”fishing、身份盗窃和垃圾邮件等进行安全演习,指导原则也要求金融机构模拟敌人发动攻击,以测试系统的防御和回应是否有效。 同时,修订版指导原则还将为金融机构的董事会和高级管理层提供更多指引。
董事会和管理层必须确保企业委任一名拥有相关经验和技能的首席信息官CIO和一名首席信息安全官Chief Information Security Officer,负责管理科技和网络安全风险。 指导原则还规定了董事会必须拥有相关经验的成员,提供有效防范。 指导原则进一步强调金融机构在进行技术开发以及部署的过程中,必须将安全监控视为重要的一环。
为了应对日益严峻的网络安全形势,打造智慧国家,新加坡网络安全战略历经了多个阶段的发展。 早在2016年《新加坡网络安全战略》文件的出台,新加坡就形成了较为完善的法律政策体系、组织管理体系、技术保障体系及人才培育体系,以此维护新加坡网络安全方面的根本利益。
新加坡在建设弹性关键信息基础设施、创造安全的网络空间、发展具有活力的网络安全生态系统和强化网络安全的国际合作这四个支柱上发力,形成了稳基础、优布局、强活力、重合作的网络安全战略。 随着互联网时代的逐渐深入,网络安全事件频发,不断增长的网络不安全感会导致政府在网络空间中作用的增加,很多国家都希望将它们的主权延伸到网络空间,并寻求技术手段加以实现。 新加坡作为全球四大国际金融中心之一和重要的航运、物流中心,每天在承担巨量的金融和信息网络交易的同时,也遭受到各式的网络钓鱼、分布式阻断服务攻击等网络威胁。
2014年总理公署、总统府和宏茂桥市镇理事会等多个网站先后遭黑客入侵,内容被窜改,多达1560名用户的身份证号码连同电子政府密码Sing Pass被发现可能外泄。 2015年,新加坡36%的消费者有支付卡:包括信用卡、借记卡和预付卡被盗用的经历,这使得新加坡成为支付卡盗用率高居全球第六位、亚太区居前三位的国家。 同年,新加坡发生16起成功突破防护墙把恶意软件置入政府电脑系统事件。
所以新加坡政府之前决定,所有部长、高级公务员及一半的政府机构职员上网都已改用没有与政府电脑系统连接上的特定电脑或平板电脑。 从2017年5月起将全面禁止公务员使用公务电脑上网。 2016年10月22日和24日,新加坡第二大移动运营商星和StarHub的宽带网服务于两度遭到分布式阻断服务攻击,这项恶意攻击造成公司的网站域名系统数据流量突然激增,导致系统不胜负荷而两度瘫痪,许多家庭宽带网用户上网时发现无法打开网站。
因此,新加坡政府着重调整、综合之前的各类网络安全政策、规划,推出网络安全战略,以应对严峻的网络安全挑战,打造智慧国家。 金管局首席网络安全官陈耀胜说:“科技已经成为大部分金融服务的基础。金融机构不仅采用新科技,也越来越依赖第三方服务供应商。修订后的指导原则清楚列明了金管局对金融机构在科技风险治理以及安全监控方面的期望。” 星展银行首席信息官黄惠锦在接受记者询问时说:“金管局的修订来得正是时候,许多新兴科技在新加坡金融体系中将扮演更重要的角色。”
黄惠锦还指出,星展银行已有减缓网络安全风险的策略,包括清晰的风险治理和管理框架,以及保护调制解调器密和完整的系统。 “我们将与监管机构和整个金融业紧密合作,加强我们的网络安全韧性,尤其在银行业日益数码化的时代,让客户继续对我们具有信心。” sz 新加坡金管局期望金融机构严格遵守该指导原则,为应付日益严峻的网络安全风险,金融机构今后必须定期测试系统的因应与恢复能力。 希望新加坡的网络安全战略能够确保本地的网络安全之路畅通无阻!
