新加坡政府的漏洞獎勵計劃運營卓有成效,通過漏洞獎勵與披露計劃提交的1000多份與政府系統(tǒng)相關(guān)的漏洞報告當中,,有496份被確定真實有效,。
據(jù)新加坡智能國家與數(shù)字政府辦公室(SNDGO)周二發(fā)布的年度報告顯示,,新加坡政府通過漏洞獎勵和公開披露計劃收到的安全漏洞報告中,有一半已被確認為有效,。此外,,公共部門過去一年記錄在案的數(shù)據(jù)安全事件也增長了44%,但沒有“高嚴重性”事件,。
在截止于今年3月31日的2020財年內(nèi),,新加坡政府共報告108起數(shù)據(jù)安全事件,遠超上一財年的75起,。盡管事件數(shù)量有所增加,,但各違規(guī)活動的嚴重程度均為為低級或中級。
安全漏洞的嚴重程度主要取決于事件對國家安全,、國家利益,、個人或企業(yè)實體的具體影響,由低到非常嚴重共分為五個等級,。
報告還指出,,所有上報數(shù)據(jù)安全事件均在48小時內(nèi)得到解決。
漏洞獎勵計劃卓有成效
新加坡于2020年4月成立了政府數(shù)據(jù)安全聯(lián)絡(luò)中心,,希望為公眾提供上報渠道,、隨時告知涉及政府數(shù)據(jù)或政府機構(gòu)的安全事件。
在運營的第一年,,聯(lián)絡(luò)中心即收到119份報告,,其中6起被評為需要進一步調(diào)查的重要數(shù)據(jù)安全事件。報告指出,,其余113項與政府數(shù)據(jù)無關(guān),,因此被提交至相關(guān)部門并采取應(yīng)對行動--例如有用戶反映,在選擇“請勿致電”選項后,,仍有網(wǎng)站以促銷電話及短信的形式進行騷擾,。
新加坡政府還在2019年10月建立起漏洞披露計劃,普通民眾均可上報自己在面向公民及企業(yè)的公共部門在線平臺及移動應(yīng)用上發(fā)現(xiàn)的漏洞,。為了進一步確定潛在安全漏洞,,新加坡政府還總結(jié)此前國防部及政府科技部的經(jīng)驗,組織過多次漏洞獎勵計劃,。
根據(jù)智能國家與數(shù)字政府辦公室的說明,,截至2021年3月,通過聯(lián)絡(luò)中心與漏洞獎勵計劃提交的漏洞報告已達1000多份,,其中496份被確認為真實有效,。
多舉措加強政府安全態(tài)勢
該辦公室表示,幾年以來推出的多項舉措增強了政府部門的整體安全態(tài)勢。他們強調(diào),,自去年10月到2021年3月31日期間推出的特權(quán)身份管理(PIM)工具也切實為政府的商業(yè)云基礎(chǔ)設(shè)施帶來了良好保護,。
智能國家辦公室解釋道,“根據(jù)「云優(yōu)先」戰(zhàn)略的指引,,越來越多的政府系統(tǒng)被遷移至云端,。政府商業(yè)云PIM解決方案正是為此而生,專為需要廣泛訪問數(shù)據(jù)的系統(tǒng)管理員等特權(quán)用戶提供保護,、加以監(jiān)控,,并防止發(fā)生未經(jīng)授權(quán)的數(shù)據(jù)使用行為?!?/p>
公共部門還在開發(fā)數(shù)據(jù)丟失保護服務(wù),,采取相關(guān)技術(shù)及流程控制方案檢測異常活動,,例如在非必要情況下將大量數(shù)據(jù)下載至個人計算機的行為,。這方面服務(wù)將于2021年底全面推廣實施。
智能國家辦公室還提到,,公務(wù)員們還需要為數(shù)據(jù)安全事件的應(yīng)對做好準備,。新加坡決定于今年9月正式啟動中央信息通信技術(shù)與數(shù)據(jù)事件管理演習,屆時將有四家部委參與首輪安全演習活動,。
相信這一切,,將成為各政府機構(gòu)每年定期舉行的網(wǎng)絡(luò)與數(shù)據(jù)安全事故演習的良好補充。
上報數(shù)據(jù)泄露和網(wǎng)絡(luò)犯罪數(shù)量倍增
從去年的情況看,,負責監(jiān)督新加坡個人數(shù)據(jù)保護法(PDPA)執(zhí)行工作的個人數(shù)據(jù)保護委員會收到的投訴量最大,。報告指出,個人數(shù)據(jù)保護委員會收到約6100起投訴,,遠高于2019年的4500起及2018年的2700起,。
由于公共部門不受個人數(shù)據(jù)保護法的約束,因此以上投訴可能主要涉及關(guān)于私營組織的潛在數(shù)據(jù)泄露事件,。
去年上報的網(wǎng)絡(luò)犯罪案件幾乎占新加坡本土犯罪總數(shù)的一半,,而且勒索軟件與僵尸網(wǎng)絡(luò)攻擊都出現(xiàn)了大幅增長。本月初發(fā)布的《新加坡網(wǎng)絡(luò)格局報告》顯示,,新加坡計算機應(yīng)急響應(yīng)小組(SingCERT)共處理9080起案件,,高于2019年的8491起及2018年的4977起,。
上報的勒索軟件攻擊數(shù)量較2019年的35起同比增長154%,,達到89起。此類攻擊主要影響到制造,、零售及醫(yī)療保健等行業(yè)內(nèi)的中小型企業(yè),。