让关键数据基础设施所有者管理供应商网络安全风险的国家努力

新加坡在最近通过第三方供应商进行的全球黑客攻击之后，将鼓励运营新加坡关键信息基础设施（CII）的组织更好地管理其供应商的网络安全风险，如电信网络和公共交通系统。

这项工作将在一项新的国家努力下进行，称为CII供应链计划，该计划由新加坡网络安全局（CSA）与CII所有者和该局将聘请的外部顾问共同制定。

它借鉴了包括美国和以色列在内的各国的国际最佳做法，还将参考新加坡金融管理局（MAS）的外包指导方针。

该计划目前不是强制性的，涵盖11个部门的CII所有者及其供应商：政府、安全和应急、医疗保健、媒体、银行和金融、能源、水、信息通信、海事、航空和陆运。

该计划将为所有利益相关者管理供应链网络安全风险的流程和良好做法提出建议。

与利益相关者的讨论也将有助于政府改善供应链安全政策。

随着越来越多的活动在网上进行，人们信任用于存储、收集和传输个人信息的数字系统是很重要的。

从长远来看，CII公司还需要一种零信任的网络安全心态，即在没有事先核实的情况下，他们不信任网络中的任何数字活动。

它们还应持续进行身份验证，及时检测异常情况，并验证跨网段的事务。

这项计划是在最近的网络攻击之后宣布的，比如去年底披露的一次网络攻击，来自德克萨斯州SolarWinds的一个流行IT管理工具受到网络骗子的污染。

大约18000名顾客受到影响，犯罪分子也使用其他方法。受到黑客攻击的包括美国科技巨头微软、思科系统和FireEye。

离家较近的地方，美国云共享公司Accellion提供的一个文件共享系统去年12月遭到网络攻击，波及全球客户，其中包括新加坡最大的电信公司Singtel。约12.9万名Singtel用户的数据在漏洞中被盗。

但CSA表示，该供应链计划的制定“并不是针对最近发生的任何网络事件”。

这是CSA不断努力提高新加坡CII部门安全和弹性的一部分，包括提高供应商的网络安全态势，CSA已经就这一计划进行了一段时间的规划和咨询。

许多基本服务，如银行和医疗保健，都是由信息和通信技术提供动力的。

J尽管所有CII所有者都必须根据法律维持一个强制性的网络安全水平，但政府也认识到，包括CII所有者在内的大多数组织都会聘请供应商来支持其运营。因此，整个供应链的网络安全风险需要得到管理。

这要求CII所有者更好地了解其供应商，以识别系统性风险，提高这些供应商的网络卫生水平，并指出，这正是新的CII供应链计划的用武之地。

该方案认识到，供应链中的任何一点都可能存在漏洞，而且很难发现。

在CSA制定该计划时，它将考虑可以向CII业主提供的保证。这些措施包括一套网络安全要求，供确定的供应商遵守，例如建立检测和监测机制，并制定应对事件的计划。

这些要求还包括确保系统具有弹性并能从网络攻击中快速恢复的措施。

供应商将根据这些要求接受独立第三方的定期审计。

如果供应商未能满足要求，可能会受到惩罚，比如支付损害赔偿金或终止合同。

为了帮助CII业主更好地管理他们的供应商，该计划还将为业主提供一种方法，根据供应商对CII业主的重要性对其进行评估和排名。这考虑到了网络攻击对CII的潜在损害。

将确定若干标准来估计潜在的损害，例如供应商可获得的数据的敏感性、对业务连续性的影响以及对技术的依赖程度。

CSA指出，根据该计划为供应商制定措施可能会导致权衡，从而影响CII业主的运营、效率和运营成本。

原子能机构将与它们密切合作，审查和修改它们现有的程序。

研究发现，更多关于这一主题的故事在2020年，新加坡未经授权的网上银行和信用卡交易的报道激增了460%

然后，它将“根据方案的发展和成熟情况，审查这些过程和要求的时间表”。

有关CII供应链计划的更多细节预计将于今年第三季度公布。

在宣布这一计划之前，MAS规定，自2021年1月18日起，这里的所有金融服务和电子支付公司都要遵守修订后的规则，以更好地降低技术风险。

银行和其他金融机构还必须评估其使用的技术产品和服务的第三方供应商的网络安全风险。

新加坡金融管理局（MAS）科技部助理董事总经理文森特洛伊（vincentloy）表示，在新加坡，迄今为止，金融机构没有发生重大网络违规事件。

这不是他们是否会被黑客入侵的问题，而是何时被黑客入侵的问题。

越来越多的组织（包括金融机构）使用第三方应用程序，因为信息技术是一项复杂的业务。

但这也意味着黑客有更多的途径进入这些组织。

供应商还可以借鉴通用网络卫生规则，从去年8月起，MAS要求金融机构遵守该规则。

这些规则包括确保系统配置安全、限制未经授权的网络流量、及时修补软件以及使用多因素身份验证。

这些措施可以解决90%以上的网络安全事件，包括第三方供应商之间的网络安全事件。

CSA的计划是“及时提醒人们，如何考虑超出直接控制范围的安全问题”。

由于存在漏洞且相互关联广泛，识别什么是‘好还是坏’、‘内部还是外部’、‘可信还是不确定’已不再是一个简单的例子。”。

从长远来看，这样的项目也将有利于整个数字生态系统，因为即使是最强大的机构也可能通过一个不太安全的实体被破坏。