X

新加坡政府漏洞奖励计划年度总结:半数上报漏洞真实有效

新加坡政府的漏洞奖励计划运营卓有成效,通过漏洞奖励与披露计划提交的1000多份与政府系统相关的漏洞报告当中,有496份被确定真实有效。

据新加坡智能国家与数字政府办公室(SNDGO)周二发布的年度报告显示,新加坡政府通过漏洞奖励和公开披露计划收到的安全漏洞报告中,有一半已被确认为有效。此外,公共部门过去一年记录在案的数据安全事件也增长了44%,但没有“高严重性”事件。

在截止于今年3月31日的2020财年内,新加坡政府共报告108起数据安全事件,远超上一财年的75起。尽管事件数量有所增加,但各违规活动的严重程度均为为低级或中级。

安全漏洞的严重程度主要取决于事件对国家安全、国家利益、个人或企业实体的具体影响,由低到非常严重共分为五个等级。

报告还指出,所有上报数据安全事件均在48小时内得到解决

漏洞奖励计划卓有成效

新加坡于2020年4月成立了政府数据安全联络中心,希望为公众提供上报渠道、随时告知涉及政府数据或政府机构的安全事件。

在运营的第一年,联络中心即收到119份报告,其中6起被评为需要进一步调查的重要数据安全事件。报告指出,其余113项与政府数据无关,因此被提交至相关部门并采取应对行动——例如有用户反映,在选择“请勿致电”选项后,仍有网站以促销电话及短信的形式进行骚扰。

新加坡政府还在2019年10月建立起漏洞披露计划,普通民众均可上报自己在面向公民及企业的公共部门在线平台及移动应用上发现的漏洞。为了进一步确定潜在安全漏洞,新加坡政府还总结此前国防部及政府科技部的经验,组织过多次漏洞奖励计划

根据智能国家与数字政府办公室的说明,截至2021年3月,通过联络中心与漏洞奖励计划提交的漏洞报告已达1000多份,其中496份被确认为真实有效

多举措加强政府安全态势

该办公室表示,几年以来推出的多项举措增强了政府部门的整体安全态势。他们强调,自去年10月到2021年3月31日期间推出的特权身份管理(PIM)工具也切实为政府的商业云基础设施带来了良好保护。

智能国家办公室解释道,“根据「云优先」战略的指引,越来越多的政府系统被迁移至云端。政府商业云PIM解决方案正是为此而生,专为需要广泛访问数据的系统管理员等特权用户提供保护、加以监控,并防止发生未经授权的数据使用行为。”

公共部门还在开发数据丢失保护服务,采取相关技术及流程控制方案检测异常活动,例如在非必要情况下将大量数据下载至个人计算机的行为。这方面服务将于2021年底全面推广实施。

智能国家办公室还提到,公务员们还需要为数据安全事件的应对做好准备。新加坡决定于今年9月正式启动中央信息通信技术与数据事件管理演习,届时将有四家部委参与首轮安全演习活动。

相信这一切,将成为各政府机构每年定期举行的网络与数据安全事故演习的良好补充。

上报数据泄露和网络犯罪数量倍增

从去年的情况看,负责监督新加坡个人数据保护法(PDPA)执行工作的个人数据保护委员会收到的投诉量最大。报告指出,个人数据保护委员会收到约6100起投诉,远高于2019年的4500起及2018年的2700起。

由于公共部门不受个人数据保护法的约束,因此以上投诉可能主要涉及关于私营组织的潜在数据泄露事件

去年上报的网络犯罪案件几乎占新加坡本土犯罪总数的一半,而且勒索软件与僵尸网络攻击都出现了大幅增长。本月初发布的《新加坡网络格局报告》显示,新加坡计算机应急响应小组(SingCERT)共处理9080起案件,高于2019年的8491起及2018年的4977起。

上报的勒索软件攻击数量较2019年的35起同比增长154%,达到89起。此类攻击主要影响到制造、零售及医疗保健等行业内的中小型企业。

参考来源:zdnet.com