新加坡以OT為核心調整其國家網路安全戰略

新加坡最新的網路安全戰略中，更多的著墨在OT資安的重視，提出新的安全框架(OT Cybersecurity Competency Framework) 作為指導方針。新加坡網路安全局(CSA)表示，新加坡將著重在關鍵資訊基礎設施(CII)和數位基礎設施的建置，並透過與CII運營商的合作來加強OT系統的網路安全，以降低因網路攻擊所帶來的經濟和實體層面的風險。
 
CSA 將OT系統定義為工業控制、建築管理和交通燈控制系統，這些系統包括監控或改變系統的物理狀態，例如控製鐵路系統。CSA再提到，過去OT多半是獨立系統的設計，並沒有連到互連網或外部網路，然而在自動化、數據蒐集與分析的必然趨勢帶動之下，OT系統開始引入新的數位解決方案，相對於過去的封閉的運營環境，這將帶來新的網路安全風險。
 
因應此類風險的出現，企業需要一個OT系統的框架，並且能從中獲取OT網路安全中所需的流程、結構和技術等指導方針。此種框架能提供OT產業所需的網路安全技術細分與參考，並且能填補現有OT網路安全培訓中的缺失，而在此前，包含CII領域在內的OT系統業者，往往是透過ICT產業下SkillsFuture Singapore的指導方針來進行技術評估和計畫培訓。
 
與美世新加坡(Mercer Singapore) 共同開發的新OT安全框架提供了各種工作角色的準則以及所需的相應技術技能和核心能力。 CSA 表示，OT和IT系統業者都可以參考其指南來提供足夠的培訓和規劃員工的職業發展，而培訓提供者可以使用它來確定支持本地培訓需求所需的技術能力和認證。此外，CSA研究院將舉辦巡迴推廣，協助企業組織根據其業務需求來採用OT 安全框架。
 
OT網路的重要性更是呼應了上週新加坡所宣布的網路安全戰略，詳細介紹了在資安威脅的應對、推動國家網路安全態勢以及推動網路安全國際規範和標準方面採取更積極主動的主張。

因應日益嚴重的網路威脅所需的重點調整

新加坡國家安全部部長Teo Chee Hean在上周二的會議開幕式中提到，全球疫情的延燒帶動了遠距辦公、視訊通話、線上購物和行動支付成為新常態，這些良性的演進在未來會持續的帶動生活、工作和企業的新商機，隨著個人和企業更多數位化的互動，每天都有新的應用程式和服務推出，5G、雲端、物聯網 (IoT)、人工智慧 (AI) 和資料分析等技術正在將數位化提升到一個新的水平，但另一方面也打開了更廣泛的攻擊面和漏洞利用等負面影響。
 
Teo再提到，地緣政治緊張情勢進一步加劇了這種不斷增長的局勢，可能使全球技術出現分歧並增加數位風險。他提及HAECHI-I的跨國金融犯罪（語音釣魚、洗錢、投資詐騙），該起犯罪活動分布所在的國家包括中國、印尼、韓國、寮國、新加坡、泰國、越南等９個國家；案件成功集結了這些國家的偵查人員，偵破892個犯罪案件，在全球各地逮捕的犯罪嫌疑人多達 585人，也凍結了超過 1,600 個疑似由犯罪分子控制的銀行帳號，一共攔截超過 8300 萬美元的犯罪分子不法所得，並且表明如果全球組織能夠共同努力，那我們處在的網路空間將能更安全、更有保障。
 
Teo 表示，近來發生SolarWinds 和 Kaseya漏洞的供應鏈攻擊也突顯了新加坡需要加強對其數位系統中信任和驗證機制的急迫性，唯有透過不斷加強的驗證機制，才能使新加坡的數位技術和設備中的網路活動更加安全。這些想法帶動新加坡更新了其網路安全策略，將重點放在如何在日益複雜的使用環境中，更完整的保護網路空間，包括在國家標準層面上制定網路安全的標準，並且提升ICT產品和服務中針對網路安全的最低要求。
 
2021年新加坡網路安全戰略的修訂不僅僅是加重保護關鍵信息基礎設施，在此之上，更著重籌組資安人才和提升企業組織的應變能力，建立資安共識和深化組織間的合作，提倡基於規則和多國秩序的網路空間和流通的ICT環境。Teo認為，這看起來雖然很困難，鑑於數位領域的無國界性質，我們更需要在在規格、規範、和標準方面達成多國共識，為無國界的數位領域打造新的治理原則、框架和標準，以維護信任和信心，並使其良好、安全地運行保障我們所有人安全。
 
新加坡目前是2021 年至 2026 年聯合國（UN）開放式安全工作組的主席國，表示將協助和推動國際網路規範的討論，並大力支持各國提升網路威脅的防護力，CSA亦補充，新加坡將呼籲制定和採用網路安全標準，讓人民和企業使用的ICT產品和服務中擁有一定程度的網路安全防護。
 
早些時候，新加坡與芬蘭新簽署了一項協議，相互承認彼此國家的物聯網設備網路安全標籤，並幫助消費者評估此類產品的安全級別，這是雙方相互承認的第一個合作協議，旨在減少重複測試的需求。
 
Teo 指出，東協也是第一個採用聯合國網路空間國家行為的11 項自願性、非約束性規範的地區組織，東協成員國目前正在努力實施這些規範，並將原則轉化為具體成果，並補充說，此類區域層面的合作是實現全球共識的重要基石。網路空間超越了物理邊界，許多系統跨越不同的國家和司法管轄區，因此，各國更需要密切合作，調整應對和監管跨境網路威脅的政策方法，並在運營層面進行合作，以快速、協調的方式應對網路威脅。
 
本文翻譯轉載自ZDNet。