國家網(wǎng)絡(luò)安全中心以重罰促進(jìn)企業(yè)為網(wǎng)絡(luò)安全做好準(zhǔn)備
為確保歐盟成員做好面對最新網(wǎng)絡(luò)攻擊(cyber attack)的準(zhǔn)備,歐盟于2016年8月通過關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全的NIS官方指示(NIS DirecTIve)。英國政府除了立法建立裁罰機(jī)制,希望藉由高額罰款,促使企業(yè)實(shí)行保障網(wǎng)絡(luò)安全的最佳措施,確保關(guān)鍵產(chǎn)業(yè)能因應(yīng)下一波網(wǎng)絡(luò)攻擊,讓未來類似WannaCry事件的影響降至最低。
據(jù)報(bào)導(dǎo),英國國家網(wǎng)絡(luò)安全中心(NCSC)已發(fā)布NIS官方指示的指引,相關(guān)規(guī)定將于2018年5月10日生效。政府曾于2017年8~9月份先就適用于各個(gè)產(chǎn)業(yè)關(guān)鍵服務(wù)的罰款措施進(jìn)行征詢。
而在2018年1月的一份官方征詢文件中,服務(wù)供應(yīng)商再次獲得保證,包括政府與主管單位(Competent Authority;CA),將以合理的方式實(shí)施NIS官方指示,并給予各個(gè)相關(guān)組織足夠時(shí)間以達(dá)到NIS官方指示的要求。
為了保護(hù)數(shù)碼基礎(chǔ)建設(shè)、能源、健康與運(yùn)輸?shù)汝P(guān)鍵產(chǎn)業(yè),罰款將是最終手段。企業(yè)若未建置適當(dāng)?shù)木W(wǎng)絡(luò)安全防御措施,實(shí)際罰款金額會(huì)考量企業(yè)與對應(yīng)主管機(jī)關(guān)的配合程度、企業(yè)所采取的補(bǔ)救措施及是否同時(shí)違反其它法律,最高將可被處以1,700萬英鎊的罰款。
關(guān)鍵服務(wù)營運(yùn)者(OES)將必須向各產(chǎn)業(yè)對應(yīng)所屬的政府指定CA報(bào)告網(wǎng)絡(luò)安全事件,而呈報(bào)的依據(jù)則是政府即將訂定的臨界值。例如水的供應(yīng)與配送,將由英國環(huán)境、食物暨農(nóng)村事務(wù)部(DEFRA)處理,并由飲用水稽查處支持。
而數(shù)碼基礎(chǔ)建設(shè)將由英國通訊傳播管理局(Ofcom)負(fù)責(zé);至于云端運(yùn)算服務(wù)、在線市集與查找引擎等數(shù)碼服務(wù)供應(yīng)商,則由英國信息管理部(ICO)主管,不過目前尚未確定是否會(huì)采用與OES相同的裁罰系統(tǒng)。
各個(gè)產(chǎn)業(yè)依照特性認(rèn)定其關(guān)鍵服務(wù)供應(yīng)者,例如在數(shù)碼產(chǎn)業(yè),將涵蓋網(wǎng)域名稱服務(wù)(DNS)供應(yīng)商、互聯(lián)網(wǎng)交換中心(IXP)營運(yùn)商、頂級網(wǎng)域(TLD)名稱注冊機(jī)構(gòu)等。 而在運(yùn)輸業(yè),則將包括每年有超過1,000萬旅客的機(jī)場營運(yùn)組織與港務(wù)機(jī)構(gòu)、大型旅客與貨物船運(yùn)公司、國際鐵道服務(wù)商、干線鐵道營運(yùn)者等。