全球眾多國家面臨網安威脅。本文將介紹過去一年(2022 年)這些國家採用的重要措施。
文/Michael Hill‧譯/Nica
網路安全一直都是全球各國政府議程中的焦點,國家與地方級機構無不更加努力因應網路安全威脅。2022 年可以看到由政府主導的大型措施正式啟動,協助處理各方各面的安全性議題。
本文將介紹 22 項過去一年(2022 年)採用的知名網路安全措施。
2022 年 2 月
??以色列致力於 IDB 拉丁美洲與加勒比海的網路安全措施
以色列政府宣佈成為美洲開發銀行(Inter-American Development Bank)創立新網路措施的一員,承諾提供兩百萬美元協助強化拉丁美洲與加勒比海區域(LAC)網路安全能力。該政府表示,以色列投注資金,提供官方與政策制定者使用先進的實作方式與全球領先知識與專業,協助建立全區網路能力。「這項網路安全措施,是在為保障與保全拉丁美洲與加勒比海區域的數位化舖路,乃後 COVID 時代成長要務之一。」IDB 董事會以色列代表 Matan Lev-Ari 如此表示。
2022 年 3 月
??新加坡啟動網路安全認證專案,認可優良網安實作
新加坡網路安全局(CSA)啟動新資格認證專案,核可採用並實施優良網路安全實作的企業。該認證結合兩項網路安全指標:Cyber Essentials 核可確切實施網路衛教處理的中小型企業,與區別核可採用全方位處理與實作的大型或更數位化企業的標誌 Cyber Trust 。
為了在企業取得認證的過程中提供協助,CSA 還開發工具集給 IT 團隊,並策展出一套合作夥伴的初始生態系統,提供有助於企業解決標誌要求的產品與服務。「供應鏈網路攻擊持續在數位世界擴散,未來公司行號在開展業務為客戶提供更大保障時,會被要求闡示其網路安全態勢。 」CSA 執行長 David Koh 表示。
2022 年 4 月
??新加坡建立網路安全服務供應商授權框架
新加波 CSA 開始為網路安全服務供應商提供授權框架,並成立網路安全服務控管辦公室(CSRO)管理框架與協助聯繫業者與廣泛大眾,處理所有授權相關事宜。新加坡 CSA 表示,該框架致力於改善保障消費者利益,與處理消費者與網路安全服務供應商間資訊的不對等,同時提高服務供應商標準並提升長期地位。
他補充表示,有兩種網路安全服務廠商必題得到授權:提供滲透測試與資訊安全監控服務代管。「這兩種服務必須優先處理,因為服務供應商執行此類服務時,必須大量存取客戶電腦系統與機敏資訊。」CSA 表示。「若存取權遭到濫用,客戶營運可能被中斷。此外,由於這些服務在市場上已廣泛使用,因此可能對整個網路安全範疇造成重大影響。」
??澳洲啟動 REDSPICE 促進國家網路安全
澳洲聯邦政府的澳洲情報機構(ASD)宣佈啟動「復原力 ─ 影響 ─ 防禦 ─ 空間 ─ 情報 ─ 賦能(REDSPICE)」措施,提升國家系統與重要基礎架構的網路復原力與防禦,投資 99 億澳元提升澳洲未來十年的國家網路安全能力。ASD 認為可透過 REDSPICE 擴展網路情報與攻防能力的範圍與精細度。ASD 局長 Rachel Noble 表示:「REDSPICE 是 ASD 持續致力於保障澳洲安全 – 無論和平與衝突時期,必要且必須及時進行的改革。」
2022 年 5 月
??英國開始訂定新核子網路安全策略
英國政府針對保障國家核子產業安全的新網路安全策略,概述計劃的幾個要點。政策目標為針對現有產業網路安全的優勢與挑戰,鎖定 2026 年必須達到的幾個關鍵目標,做為 2022 國家網路策略廣義目標的一部份,建立全面性瞭解。在 「2022 民間核網路安全策略」中,英國政府條列了以協同合作與成熟手法有效管理與緩解網路風險,輔以意外事件應對與恢復的復原力,建立民間核產業的目標。新計劃試圖建立在現有周遭核網路安全的瞭解上,推行產業應於未來四年內達到的四個關鍵目標:
- 優先考量網路安全適切納入整體風險管理處置的一部份,並以常見風險理解與結果論原則強化鞏固。
- 在面臨進化中威脅、舊系統挑戰與採用新技術時,採取主動緩解供應鏈網路風險。
- 透過協同合作預先準備與應對網路意外事故,減少影響並縮減恢復時間提升復原力。
- 協同合作提升網路成熟度、開發網路技能並促進主動的網安文化。
透過幾項優先處理的重點與支援活動將能實現這些目標,並透過計劃性處理交付的方式監督。其中包括網路對手模擬(CyAS)評估,以及整體性關鍵 IT 與 OT 系統、民間核供應鏈基礎網路安全標準,與協力廠商及元件保障與管理的跨領域協同合作等,其他威脅情資測試活動。
??澳洲維多利亞州政府投資十萬澳元培訓網安界的女性
澳洲維多利亞州政府宣佈投資十萬澳元在訓練具備一年 IT 領域或三年網路經驗女性的措施上,做為這些女性網路安全職涯的起步,或準備在該領域擔任領導角色。這項措施由澳洲婦女網安網路(AWSN)合作發起。州政府將此項計劃定義為旨在改善職場女性代表的專案,因澳大利亞統計局(Australian Bureau of Statistics)發現當地數位技術工作者中女性僅佔 31%。這個在七月份開始的專案,包括專家訓練、培訓與指導服務,以及出席研討會與網路社交活動。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉! ]
??英國開放 CSAB 申請
英國政府開放 GCSAB 成員的申請。政府網路安全諮詢委員會(Government Cyber Security Advisory Board,GCSAB)的目標建立在外部挑戰專案小組(External Challenge Panel)的成就上,該小組以產業與學術界觀點,支援政府廣泛的網路安全策略開發,該策略於 2022 年一月啟動,協助建立公家機構的網路復原力。政府表示,GCSAB 將由獨立的外部專家組成,為政府、私人機構與學術單位建立更好的連結,針對政府網路安全挑戰的應對,提供觀點與意見,一如其網站所述。它會邀請在戰略、標準與保險、政府風險與管理專案交付、網路偵測與應對技術,以及網路技術與文化方面具網路安全專業或能力與知識的候選人,提交近兩個月開會一次的 GCSAB 成員意向書(EoI)。
??美國提案詳述 5G 安全性進展
美國政府採用 5G 安全性評估流程調查的建議五步驟,解決 5G 技術因新功能與服務引發的現有安全性評估指南與標準之間的分歧。「這個共用安全性評估程序的目的,是為了提供聯邦機構統一且彈性的處理方式,評估、瞭解與處理安全性及復原力,以及該技術評估標準與政策間的差異。」網路安全暨基礎架構安全局(CISA)執行助理董事 Eric Goldstein 如此表示。「這類程序可以為受保護的政府企業系統提供保障,網路犯罪無法透過 5G 技術取得後門進入機構網路。」具體而言,這些機構指的是為取得營運授權(ATO)想在任何聯邦辦公室做出安全性評估結論前取得先機的單位。提出的五步驟如下:
- 定義聯邦 5G 使用案例。
- 確定評估界線。
- 確定安全性需求。
- 比對安全性需求與聯邦指南。
- 評估安全性指南差距與替代方案。
??英國提出提升 app 安全性與隱私權實作的新守則
英國政府號召技術產業就提升安全性與隱私權的 app 商店與 app 開發需求提供意見。這段諮詢期由美國 National Cyber Security Centre(NCSC)最新一份報告引爆,它揭露了那些內含意圖不軌的惡意軟體或置使用者於重大風險之中的粗劣開發 app。英國政府表示,因此將目標放在建立新實作守則上,設立針對 app 的安全性與隱私權要求基準線。在新提案下,智慧手機的 app 商店、遊戲機控制台、電視與其他智慧裝置都被提交必須符合新實作守則,以強化 app 安全性與隱私權標準,這會是全球首例此類措施,英國政府網站新聞稿如此陳述。並補充說明:「建議守則要求商店針對每個 app 提供弱點回報程序,如此一來才能發現漏洞並儘速修補。他們需要用可理解的方式分享更多安全性與隱私權資訊,包括為什麼 app 必須存取使用者聯絡人與位置。」
2022 年 6 月
??以色列發表 The Cyber-Dome 專案提升國家網路安全
以色列國家網路局(INCD)大致說明新國家網路安全性專案 The Cyber-Dome:巨量資料與人工智慧主動防禦的全面性處理方式。 INCD 局長 Gaby Portnoy 表示,這個專案旨在透過國家網路邊界的新機制,提升國家網路安全意識,減少國家網路攻擊。「The Cyber-Dome 也提供工具與服務,提升整體國家資產的保護。它會與國家級威脅的即時偵測、分析與緩解同步。」Portnoy 表示。「我們必須以最好的可行方案,保障國家資產安全,讓我們在關鍵基礎建設上使用的網路安全協定適用於更多部門組織:政府與私人企業。」
??加拿大推動新法規提升網路安全
加拿大政府提出立法提案,為加拿大人民提供更好的保障,促進金融、電信、能源與運輸產業的網路安全。重視網路安全法案(ARCS)的 Bill C-26 試圖取代電信法並加入以安全性為政策目標,讓電信產業符合其他關鍵領域標準。「這可以讓政府於法有據,採取必要作為保障加拿大電信通訊系統安全。其中包括禁止加拿大公司使用來自高風險廠商的產品與服務。」政府網站如是說。法規更進一步提出關鍵網路系統保護法(CCSPA),為保障加拿大關鍵基礎建設奠定基礎。國防部長 Anita Anand 評論道:「這些法規措施,有助於在這個不斷進化與日益複雜的數位環境中,進一步保護加拿大人民與保衛關鍵基礎建設。」
2022 年 6 月
??德國強化防禦因應俄羅斯網路威脅
德國政府宣佈加強國家網路防禦的計畫,因應俄羅斯入侵烏克蘭可能帶來的新威脅。內政部長 Nancy Faeser 提出的新措施,內容涉及針對中小企業與提供運輸、食物、健康、能源與水資源這些關鍵服務的商業組織,提升網路復原力,以及為聯邦政府導入安全的中央視訊會議系統。另提及州與聯邦架構間交換網路攻擊資訊的集中式平台,將其規劃為現代化德國國家情報機構與警務的 IT 基礎架構。「因俄羅斯對烏克蘭的侵略戰,我們面臨的巨變需要戰略性重新定位,並大量投資網路安全。」
2022 年 8 月
??法國投入兩千萬歐元強化醫院、健康醫療機構網路安全
法國數位轉型與電信部長 Jean-Noël Barrot,與健康部長 François Braun 宣佈額外投資兩千萬歐元於法國國家網路局 ANSSI,以強化國家醫院與健康醫療機構的網路安全。這是針對八月 24 日 Centre Hospitalier Sud Francilien(CHSF)醫院遭受重大勒索軟體攻擊事件後才有的動作。此次攻擊涉及的勒索軟體型態極有可能是 Lockbit,據報導攻擊者要求一千萬贖金。Braun 認為網路攻擊不被容許,而 Barrot 則表明醫院網路安全是政府的頭號要務。Barrot 補充表示,這項資金應能「強化對健康醫療機構的支援。」
???????蘇格蘭為百間企業提供網路復原力訓練
蘇格蘭政府宣佈一份價值五十萬英鎊的合約,將網路復原力訓練擴展至全國 250 間以上企業組織。Scottish Business Resilience Centre(SBRC)運作的這項訓練,包括針對公共服務與第三單位(志願部門)健康、住宅與社會關懷機構所舉辦的線上與面對面研討會,確保他們做好萬全準備與保護因應網路威脅。此舉源自於蘇格蘭發生越來越多毀滅性大規模網路攻擊。「研討會提供實作指南,緩解或因應刻意的網路攻擊。」司法部長 Keith Brown 如此表示。「我呼籲符合條件的企業組織抓住這個機會,確保本身受到保護。蘇格蘭政府致力於確保蘇格蘭在網路復原力與安全性上保持領先。」
??比利時部長理事會貫徹歐洲網安認證法律框架
比利時部長理事會(比利時聯邦政府最高行政機關)委任比利時網路安全中心(CCB)為國家網路安全認證機構(NCCA),負責在該國核可與發佈歐盟網路安全認證。這個新法律框架,宣佈 CCB 將為比利時公司提供歐盟網路安全認證程序方面的指導與支援。此舉進而實施 European Regulation 2019/881 法規網路安全範疇的資訊與通訊技術認證,也就是所謂的網安法案(Cybersecurity Act)。「這些認證以等級一或更高保障級別(低、中或高)的網路安全認證計畫為基礎。」CCB 表示。「目的是改善資訊與通訊技術產品、服務與處理程序的網路安全透明度。提升數位單一市場的信任度與競爭力。」
??澳洲新南威爾士州政府在網路安全加速器投注一百萬澳元
澳洲新南威爾士州政府選擇該國唯一致力於網路安全加速器的 CyRise,營運位於雪梨科技中心園區的百萬 Cyber Security Accelerator 專案。這個含括三天的新兵訓練營,為期十四周的新創加速器專案,與後期擴充營運的新擴大專案,皆由 CyRise 管理營運。「此專案將協助公司行號強化他們的產品、微調經營模式及增強與國際性投資的連結。」企業、投資與貿易部長 Alister Henskens 如此陳述。「此舉支持企業更快『走向全球』,吸引更多頂尖人才來到新南威爾士,可以促進經濟成長,還有助於保障我們的州有更光明的前途。」CyRise 執行長 Scott Handsaker 補充表示,這項創新專案的目的是為了讓新南威爾士成為全球網路安全產業的指標。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
??芬蘭計劃在安全性威脅高漲下為公司行號提供網安金援方案
芬蘭宣佈計劃透過新現金券方案金援協助公司行號改善網路安全。這項計劃是為了因應烏克蘭戰爭,也是芬蘭加入北約的回應。該計劃提供高達 15,000 歐元現金券給中小型企業與非營利組織。據華爾街日報所述,符合現金券資格的大型企業有資格獲得十萬歐元價值的現金券。
Vectra AI 的歐洲、中東與非洲地區副總裁 Teppo Halonen 告訴我們,芬蘭政府提議的現金券方案規模,已超越全球網安界至今所見的所有項目。「考量到北歐五國網路安全方面向來資金短缺,此項新專案對促進芬蘭網路復原力大有幫助。」他表示。「這些現金券讓芬蘭公司擁有更有利的情勢抵禦日益增加的安全性威脅,能夠更自由推進網路安全工具與訓練,還能避免因國家民族戰役所帶來的附加傷害與網路犯罪集團的攻擊。」
??美國發佈軟體供應鏈網安指南
美國政府 CISA 與美國國家安全局(NSA)發佈建議開發人員如何讓軟體供應鏈更佳安全的指南,開放源碼軟體是重要焦點。這份指南概述的建議,符合業界最佳實作與軟體開發人員強力建議參考的原則。這些原則包括安全性需求規劃、以安全性觀點設計軟體結構、附加安全性功能,以及維持軟體與底層基礎架構(環境、原始程式碼檢視、測試等諸如此類)的安全性。
CyberGRX 的資安長(CISO)Dave Stapleton 接受採訪時表示,雖然此項措施由美國帶頭,但它將引發全球建設性影響,因為供應鏈橫跨城市、州、國家與大陸。「我因為聯邦政府不遺餘力協助企業組織安全化軟體供應鏈而信心倍增。聯邦政府提出了一個重要觀點:許多補救與緩解的處理,大大仰賴上下游利益關係人,從而引發出共同責任模式。」
??新加坡號召資安產業進行改革
新加坡 CSA 啟動 「網路安全產業創新號召 2022 」(CyberCall 2022),邀請資安企業參與開發中的創新解決方案,處理特定網路安全挑戰。這是為了強化企業組織的網路復原力,並為資安公司提供刺激新加坡最新尖端科技解決方案在商業上應用的機會。新加坡 CSA 表示,年度 CyberCall 正尋求下列領域的解決方案:
- 網路安全人工智慧
- 雲端安全性
- 營運技術(OT)/ 物聯網(IoT)安全性
- 隱私權提升技術
CSA 補充說明,資安公司入圍的提案,將受邀請終端使用者參與,針對可能的共同創新、採用與測試平台深入探討他們的提案。
??加拿大提升量子安全威脅意識並預做準備
加拿大政府宣佈投資 67 萬 5千加幣支援 Quantum-Safe Canada 專案 Laying the Foundations for a Quantum-Safe Canada,提升量子安全威脅意識並預做準備。該國政府於網站文章中表示,此資金乃由 Cyber Security Cooperation Program 專案提供,旨在協助強化加拿大為量子風險、協調研究、技術、工具與訓練預作準備與因應的能力。該專案亦試圖確保負責保障加拿大賴以維生系統安全的人,擁有量子電腦時代所需的知識與技能。公共安全部長 Marco Mendicino 表示:「這個專案將更有效保護加拿大免於網路威脅,尤其是由量子威脅引發增生的風險。」
2022 年 9 月
??美國發出意外事件、勒索軟體回報規則制定 RFI
美國政府 CISA 發出資訊需求書(RFI),未來將強制企業組織在七十二小時內回報重大網路安全意外事件,並於支付贖金後 24 小時內回報。該 RFI 依循『關鍵基礎架構網路意外事件回報法案 2022』 (CIRCIA)三月通過的法案,要求 CISA 依執法單位法規制定程序,收集意外事件與勒索軟體贖金支付相關資料。CISA 也宣布將主辦十一場面對面聆聽的研討會,進一步瞭解法規的制定程序,其中在 CISA 的十個地區各辦一場,另一場則於華盛頓特區舉辦。「『關鍵基礎架構網路意外事件回報法案 2022』 改變了整體網路資安界與每個人保衛國家關鍵基礎建設的遊戲規則。它讓我們更瞭解面臨的威脅、及早發現對手的動作,並與公家機關與私有企業合作夥伴採取更協調一致的方式應對。」CISA 局長 Jen Easterly 在新聞稿中如此表示。
??歐盟委員會公佈歐盟網路復原力法令草案
歐盟委員會公布網路復原力(Cyber Resilience Act,CRA)法令的草案,針對全歐盟所有連結裝置與服務,設立通用網路安全標準。歐盟總理 Ursula von der Leyen 於十二個月前率先公布,該法案試圖建立市場上數位產品與相關服務的網路安全性規則。它亦賦與歐盟委員會針對未依循法規之企業予以罰緩高達一千五百萬歐元,或去年度全球營業額 2.5% 的權力,另授與歐盟召回與禁用不符合法則之產品的能力。草案在成為法令前,需要歐盟國與歐盟立法委員的同意。
Exiger 資深副總裁暨 CISA 前任助理主任 Bob Kolasky 說明,要讓歐盟 CRA 有所成效,新法規必須採用強而有力的方式證明,確保技術提供者符合必要條件。「法規的必要條件,必須以風險為基礎,並盡可能與西方國家採用的處理方式協調一致,尤其是美國。若法規實施變成更大的合規性累贅而非激勵更多安全性實作、處理與協定方面投資的主動作為,那麼這個法令會變成弊大於利。業界必須參與法令的實施,確保該法令實際上能夠成功執行而非紙上談兵。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)