7月10日,新加坡通信部(Ministry of Communications and Information)与网络安全局(Cyber Security Agency,以下简称“CSA”)共同发布了《网络安全法案2017》(草案)征求公众意见,公众咨询时间为7月10日至8月3日。该草案是新加坡继去年10月宣布的旨在加强全球合作伙伴关系的“网络安全战略”之后又一网络安全举措。CSA花了将近两年的时间来制定该法案。
草案共分为六个部分,第一部分为序言,明确了法案的名称、生效起始时间、适用范围,对草案中的一些术语进行概念界定;第二部分为监管,主要规定了网络安全官员的任命和职责;第三部分为关键信息基础设施,主要规定了关键信息基础设施的认定与撤回、关键信息基础设施所有者的义务;第四部分为网络安全事件的预防及响应;第五部分为网络安全服务提供者;最后一部分为一般规定。此外,还附有基础服务(essential service)及需许可的网络安全服务(licensable cybersecurity service)两个目录。
公安部第三研究所网络安全法律研究中心组织了对该法案的翻译,现对该草案的出台背景、主要内容和争议焦点进行全面解读。
法案出台背景
随着网络的发展,在全球范围内,如勒索、网络盗窃、银行诈骗、网络间谍和破坏互联网服务等网络安全事件数量激增,新加坡也同样受到此类事件的影响。面对日益严重的网络安全威胁,新加坡亟需加强对网络安全的保护,尤其是对关键信息基础设施的保护。2015年4月,新加坡成立了新加坡网络安全局(CSA),作为监督和协调国家网络安全工作的中央机构。2016年10月,李显龙总理启动了新加坡网络安全战略(Cybersecurity Strategy),旨在为新加坡创造一个充满活力和可信的网络环境。根据该战略规划,新的网络安全法案将在2017年出台,本次草案的出台正是落实该战略规划的重要举措。
此前,新加坡已经颁布了一些网络安全法律法规,例如2013年修订的“计算机滥用和网络安全法”(the Computer Misuse and Cybersecurity Act),但该法侧重于规范网络犯罪活动。也有一些关键信息基础设施的监管机构(例如MAS and IMDA),出台了相应的规范,但基于历史、技术水平等诸多因素的差异,不同部门之间的规范有很大的差异性。随着网络威胁态势的发展,新加坡需要一个综合的、统一的法案来监督整个提供基本服务的网络安全,《网络安全法案2017》(草案)在此背景下应运而生。
法案主要内容
草案要求设立专门的网络安全官员,并授予网络安全官员管理和应对网络安全威胁和事件的权利 ;明确了关键信息基础设施的概念及认定程序,确立了11类关键信息基础服务设施;建立网络安全事件的响应和预防机制,赋予网络安全官员对于网络安全事件或风险调查和预防权利;建立了针对关键信息基础设施所有者的监管框架,明确了关键信息基础设施所有者的网络安全风险评估义务、审查义务、网络安全事件报告义务、重大事项变更告知义务等;确立了网络安全信息共享机制,赋予网络安全官员除法律禁止披露信息外的诸多信息的获取权。引入网络安全服务许可机制,规范网络安全服务提供商。
1确立关键信息基础设施的认定机制
1)CII的定义
“关键信息基础设施”(critical information infrastructure,以下简称“CII”)是指为国家依赖的基础服务(essential services)提供持续支撑所必要的,丧失或受损会削弱国家安全、国防、外交关系、经济、公共健康、公共安全或者公共秩序的计算机或计算机系统。
CII可能由公共部门所有也可能为私人组织所有。该草案在附录中明确了11类关键信息基础服务设施,包括:能源;信息通信;水;医疗;银行和金融;安保及应急服务;航空;陆运;海运;政府;媒体。
详情参见目录1。
2)CII的认定主体
CII的认定由网络安全委员(Commissioner of Cybersecurity)负责。其他官员,例如网络安全副委员(Deputy Commissioner)、网络安全助理委员(Assistant Commissioner)、网络安全专员(cybersecurity officers)均无权认定。
3)CII认定条件
CII认定的条件是网络安全委员(Commissioner)认为:
(1)计算机或计算机系统符合CII的认定标准;
(2)该计算机或计算机系统全部或部分位于新加坡境内。
4)CII的认定程序
网络安全委员认定CII后,应当通过书面通知的形式告知CII所有者。通知内容包括:
(1)确定被认定为CII的计算机或计算机系统;
(2)确定被认定为CII的计算机或计算机系统的所有者;
(3)通知被认定为CII的计算机或计算机系统的所有者,并告知其相关义务和责任;
(4)提供负责监管该CII的网络安全助理委员的姓名及联系方式;
(5)告知被认定为CII的所有者有权在收到通知后的14日内有权申述;
(6)告知被认定为CII的所有者可以向部长申诉,并告知反对该认定的渠道以及程序。
5)CII认定的有效期及撤回
CII认定的有效期为五年。在关键信息基础设施认定有效期内,如果网络安全委员认为该计算机或计算机系统不再符合关键信息基础设施标准时,可以以书面形式随时撤回认定。
2建立关键信息基础设施所有者的监管机制
1)CIIO的认定
关键信息基础设施所有者(the owner of critical information infrastructure ,以下简称“CIIO”)是指能有效控制或有权利、有能力改变关键基础设施的人,或者负责确保关键基础设施的持续运行的人。为政府或法定机构所有的关键信息基础设施的所有者是指该政府机构的、负责批准与关键信息基础设施有关的预算和支出的常务秘书或者法定机构的首席执行官。
2)CIIO的义务
针对网络安全,草案建立了CIIO事前的网络安全审查制度、风险评估制度、演习制度;事后的网络安全事故报告制度。
(1)网络安全合规性审查及网络安全风险评估
草案规定 CIIO每3年至少进行1次网络安全的合规性审查,审查人员由网络安全长官任命。每3年至少进行1次网络安全风险评估。并向网络安全委员提交审查和评估报告。CII发生实质变更的,网络安全委员可能会另外要求 CIIO进行合规性审查及网络安全风险评估。
(2)重大网络安全事故报告制度
在发生以下网络安全事故时,CIIO应当向网络安全委员报告:
(a)CII出现重大网络安全事故(significant cybersecurity incident);
(b)CIIO控制的、不属于关键信息基础设施,但与关键信息基础设施互联或者有交流的设施或系统发生重大网络安全事故;
(c)网络安全长官书面确定的其他应当报告的网络安全事故。
(3)国家网络安全演习
为测试不同 CIIO在应对国家级重大网络安全事件的战备状态及应急能力,网络安全委员可进行国家网络安全演习,CIIO必须参加上述演习。
3)CIIO的监管主体
草案要求设立专门的网络安全官员负责对国家网络安全的监督和维护。网络安全官员包括网络安全委员、副委员(Deputy Commissioner)、助理委员(Assistant Commissioner)等。此外,在必要的情况下,部长还可以书面任命临时性或长期性的网络安全官员(Cybersecurity Officer)。
4)CIIO的上诉机制
CIIO认为受到关键信息基础设施认定、参加国家网络安全演习的指示、行为守则或操作标准等侵害时,可以向部长上诉。
3建立网络安全服务许可制
草案引进了网络安全服务许可机制。针对调查性的网络安全服务(investigative cybersecurity service)建立了双重许可机制,即从事调查性网络安全服务的人员应当获得调查性网络安全服务从业资格(investigative cybersecurity service practitioner’s licence);从事为他人提供具备调查性网络安全服务从业资格人员的活动也应当获得相应的许可证。对于非调查性的网络安全服务(non-investigative cybersecurity service),草案规定从事非调查性网络安全服务的人员应当获得非调查性网络安全服务从业资格证。
调查性的网络安全服务是指本质上具有调查性的服务,包括:避免其他计算机或计算机系统的远程控制;要求执行该服务的人员获得对计算机或计算机系统正在执行的服务的深度访问权限,或对计算机或计算机系统的网络安全防御进行测试;通过搜索漏洞或者损害计算机或计算机系统的安全防御,评估、测试计算机或计算机系统的网络安全;通过对计算机或计算机系统进行彻底扫描和检查来调查和应对网络安全事故,以查明和根除网络安全事故,并找出事故发生的根本原因,以及参与远程控制的计算机或计算机系统;对计算机或计算机系统进行彻底检查,以检测任何可能已经渗透到计算机或计算机系统的网络安全防御的,可能规避了传统的网络安全解决方案的检测的网络安全威胁。
非调查性的网络安全服务是指不具有调查性的服务,包括:一个或多个网络安全解决方案的设计、销售、进口、出口、安装、维护、修理或维修服务;监测计算机或计算机系统的网络安全,或通过识别和扫描存储在计算机或计算机系统上的信息来识别计算机或计算机系统的网络安全威胁;通过有效的管理、操作和技术控制维持对计算机或计算机系统的网络安全的控制,以防止未经授权的访问对计算机或计算机系统的网络安全产生不利影响;提供有关网络安全解决方案的建议;评估或监测是否遵守网络安全政策;为加强网络安全提供建议;提供与任何网络安全服务有关的培训或指导等。
关于需许可的网络安全服务参见目录2。
4建立网络安全信息共享框架
草案除了规定CIIO网络安全事故报告义务、风险评估及审查结果报告义务,CIIO重要事项变更的告知义务外,还赋予了CSA官员一系列的信息获取权,以共享网络安全信息。
草案规定当网络安全委员有理由怀疑该计算机或计算机系统属于关键信息基础设施时,网络安全委员有权利要求该计算机或计算机系统的运行者提供与计算机或计算机系统有关的信息,包括具体功能、服务对象、技术信息及其他网络安全委员要求提供的信息,法律禁止披露的信息除外。
其中,技术信息(Technical information)是指:
1)与CII有关的设计、配置、安全信息;
2)与CII互相连接或者交流的计算机或者计算机系统有关的设计、配置、安全信息;
3)CII、与CII互相连接或者交流的计算机或者计算机系统的运行信息;
4)为认定CII所需的,网络安全委员要求提供的其他信息。
5建立网络安全事件的响应和预防机制
为判定网络安全威胁或网络安全事件的影响,预防进一步的损害。草案根据网络安全事件或风险的严重性程度,赋予了网络安全官员不同程度的调查和预防权利。
针对一般性的网络安全事件或风险,网络安全官员有权:
1)要求相关在合理的时间,在调查官指定的地点回答与网络安全威胁或事件有关的问题或提供相关书面声明。
2)要求相关人员出示其拥有的、相关的实物或电子记录、文件或副本,或提供调查人员认为与调查有关的信息。调查人员可以免费检查、复制或提取这些信息。
3)对可能知晓与网络安全事件或威胁有关事实和情况的人进行口头审查,并做成书面声明。
针对重大网络安全事件和风险,网络安全官员有权:
1)指示相关人员采取补救措施,或停止特定的与计算机或计算机系统相关的活动,如果调查人员有合理理由怀疑该计算机或计算机系统已经受到或正在受到网络安全事件影响,以尽量减少网络安全漏洞。
2)要求计算机或计算机系统的所有者采取措施协助调查,包括但不限于:不使用计算机以保持计算机或计算机系统的状态;对计算机或计算机系统进行一段时间的监测;对计算机或计算机系统进行扫描以检测网络安全漏洞;允许调查人员在计算机或计算机系统上安装任何软件程序,或将任何设备连接到计算机或计算机系统,以便进行调查。
3)访问、监测和检查计算机的运行情况,如果调查人员有合理的理由怀疑或受到网络安全事件的影响;或使用该计算机来搜索计算机中所载的或可用的相关数据。
4)复制或摘录计算机中的相关电子记录,如果调查人员有合理的理由怀疑该计算机或计算机系统或受到网络安全事件的影响;
5)经所有人同意,为进行进一步的检查或分析,占有相关计算机或其他设备。
其中,所谓重大网络安全事件或风险是指:
1)给关键信息基础设施带来了重大损害的实际风险;
2)给基础服务带来了实际的中断风险;
3)给新加坡的国家安全、国防、外交、经济、公共卫生、公共安全或公共秩序带来了实际威胁;
4)就网络安全风险可能造成的损害的严重程度,处于风险中的计算机的数量或处于风险中的信息的价值而言,网络安全风险本质上是非常危险的,无论该计算机或者计算机系统是否属于关键信息基础设施。
争议焦点
新加坡国内认为,作为新加坡首个全面规范网络安全的法案,本次网络安全法草案在解决许多问题方面迈出了重大一步,但仍然存在诸多问题:
首先,关于关键信息基础设施的认定和撤回问题。草案赋予了网络安全委员决定权。只要其认为该计算机或计算机系统符合关键信息基础设施的标准即可认定为关键信息基础设施,只要其认为不再符合认定标准也可以随时撤销该认定。将关键信息基础设施的认定和撤回权责置于在一个人(或其办公室)之下既不可持续也难以保障该决策的公正性和科学性。
其次,关于网络安全许可制度。网络安全的许可制度将会影响到整个专业人员的生态系统,包括后端运营人员、漏洞评估员以及鉴定分析师。许可机制可能会为白帽黑客带来福音,他们无需再冒着游离于法律红线边缘的风险去寻找和汇报漏洞。对于企业而言,也能够雇用更可靠的人才去修补软件。但也有观点指出,许可可能会造成虚假的安全感,减损对于网络安全服务提供者进行监督的积极性。此外,也可能会导致一些拥有更好的网络安全能力的小公司,因负担不起该合规成本在与大公司的竞争中处于劣势地位。
最后,关于网络安全官员的权限问题。草案设立了专门的网络安全官员,并赋予了网络安全官员一系列的权利,该做法符合目前国际上的通行做法。但是在网络安全事件调查中如何保护企业的商业秘密,防止政府权力滥用是需要进一步解决的问题。
目录一 基础服务
目录二 需许可的网络安全服务
(licensable cybersecurity service )
第一部分
需许可的调查性网络安全服务(licensable investigative cybersecurity services)
基于本法案的目标,下列调查性的网络安全服务属于需许可的调查性网络安全服务:
(a)渗透测试服务(penetration testing service)。
第二部分
需许可的非调查性网络安全服务(non-investigative cybersecurity services)
基于本法案的目标,下列非调查性的网络安全服务属于需许可的非调查性网络安全服务:
(a)安全管理运营中心监测服务(managed security operations centre monitoring service)
第三部分
解释
在此目录中,安全管理运营中心监测服务是指为预防、检测、应对网络安全风险或者计算机或计算机系统出现的网络安全事故,包括未经授权的访问,篡改或复制计算机(或计算机系统)里存储的信息而为计算机或者计算机系统提供的监测、评估、防御服务。
渗透测试服务是指对通过搜索计算机或计算机系统中的漏洞或者危机计算机或计算机系统安全防御体系的风险,对计算机或计算机系统的网络安全以及计算机或计算机系统中存储的信息的完整性进行评估(assessing)、检测(testing)、评价(evaluating)的服务,包括以下任一行为:
(a)判定计算机或计算机系统中的网络安全弱点,并演示这样的弱点可能被如何利用以及如何有效利用;
(b)通过对计算机或计算机系统的(网络安全防御体系)进行模拟攻击,以判定该系统对于网络安全事故的识别和应对能力;
(c)识别或量化计算机或计算机系统的网络安全漏洞,指出弱点并提供消除该弱点或将该弱点降低到可接受的风险水平所需的适当的缓解程序。
(d)利用社会工程学来评估该系统应对网络安全威胁的脆弱性程度。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。