新加坡——根据一项新的拟议法律,关键信息基础设施(CII)的所有者,如提供水、电和银行服务的所有者,将被要求报告更多类型的网络安全事件,包括发生在其供应链中的事件。
新加坡网络安全局(CSA)表示,通过这种方式,它可以更清楚地意识到可能导致新加坡基本服务中断的网络安全威胁,并更积极地与业主合作以确保这些服务的安全。
周三(4月3日)提交议会的《网络安全(修正案)法案》将更新有关CII网络安全的现有条款,并将CSA的监督范围扩大到临时网络安全关注系统(stcc)。
这是指对新加坡至关重要的计算机系统,由于某些事件或情况而处于网络攻击的高风险中。
该法案旨在修订《2018年网络安全法》,该法为监督和维护新加坡的国家网络安全建立了法律框架。
CSA在周三的媒体发布会上表示,该法案将首次修改该法案,目的是确保法律与网络威胁形势的发展以及新加坡不断发展的技术运营保持同步。
CSA表示,该法案的一个关键方面是确保CII所有者继续对系统的网络安全和网络弹性负责,同时采用云计算等新技术和商业模式。
上个月,通信和信息部长张志贤(Josephine Teo)在议会谈到该部的支出计划时,首次提出了修改法律的意图。
她说,法律需要修改,以反映确保为新加坡数字经济提供动力的数字基础设施和服务的网络安全以及允许公民满足其日常需求的重要性日益增加。
账单包括哪些费用?
目前,CII所有者只需要报告涉及关键基础设施和其控制下与基础设施互连或通信的计算机系统的网络安全事件。
如果新法律获得通过,车主还必须报告针对CII外围系统的事件。
除了关键基础设施外,该法案还将允许CSA主动保护stcc,以确保这些系统的网络安全。
STCC的一个例子是在大流行期间用于支持分发关键疫苗的临时系统。在2019冠状病毒病大流行期间,世界各地卫生保健组织部署的疫苗分发系统成为恶意网络行为者的目标。
此外,CSA将创建两类新的受监管实体:特殊网络安全利益实体(ESCI)和基础数字基础设施(FDI)。
这两类不是关键的信息基础设施,因此将受到“轻触式”监管。
ESCI,如自治大学,可能持有敏感信息或履行国家利益的职能,因此,它们的中断可能对新加坡的国防、外交关系、经济、公共卫生、安全或秩序造成潜在的不利影响。
根据该法案,CSA将能够指定和监管ESCI的网络安全。新加坡网络安全机构表示,对这些实体施加的义务将与cii不同。
最后,该法案还要求云服务提供商和数据中心等公司对此类数字基础设施的网络安全负责。
该机构表示,这包括遵守网络安全规范和实践标准,以及向CSA报告规定的网络安全事件,这也不会达到CII的水平。
CSA补充,已就条例草案进行广泛谘询,包括透过持份者和公众谘询。该机构表示,如果法案获得通过,它将继续与利益相关者密切磋商,以实施该法案。中央社
更多类似报道,请访问cna.asia。
