第一情报 ---信息产业

在COVID-19危机期间有关数字安全的7个教训(2)

供稿人:倪炜瑜  供稿时间:2020-11-26   关键字:新冠疫情  COVID-19  数字安全  

政府层面

5、在危机期间,政府需要将其触角从关键活动的经营者扩展到供应链中的关键参与者。

2015年经合组织《关于数字安全风险管理促进经济和社会繁荣的建议》确定了一项关键原则,多方利益攸关方和国际合作已成为在COVID-19危机期间成功管理数字安全风险的关键条件。关于数字安全风险(包括威胁、漏洞、事件和保护策略)的有效信息共享通常依赖于一个由跨多个级别(组织、部门、利益相关者群体和边界)的可信任的利益相关者组成的现有生态系统。

在许多经合组织国家,COVID-19危机带来了一种新的、未曾预料到的、且往往是慷慨的多方利益相关者合作形式。许多数字安全服务提供商向医疗组织和中小企业等弱势群体提供免费援助(例如,“COVID-19 CTI联盟”,网络威胁情报组织,聚集了来自40个国家的数字安全专业人员,向弱势行动者提供免费服务)

政府经常扮演关键角色,在这种多方利益相关者合作中充当召集人或协调者。例如,在法国,数字安全机构ANSSI利用现有的认识提高和事件报告在线平台2(基于公私伙伴关系)提供资源,并将个人和组织与数字安全服务提供商连接起来。在以色列,政府推出了一个市场,以促进这些参与者之间的联系,供应商通过以色列国家网络理事会(INCD)以快速通道的方式进行审查。.这场危机还突出了公私伙伴关系和多方利益攸关方协调的创新模式的重要性,例如在卫生部门使用管理沙箱。

在拥有不同文化和目标的利益相关者之间建立信任需要时间。各国政府可以帮助创造条件,促进基于信任的多方利益攸关方合作机制,特别是在有关威胁情况的信息共享和资源共享方面。

经合组织关于关键活动数字安全的建议

经合组织于201912月通过的《关键活动数字安全建议》提出了一系列政策建议,以确保针对关键活动运营商的政策聚焦于对经济和社会至关重要的领域,而不会给其他领域造成不必要的负担。这些建议支持追随者:

•调整总体政策框架;

•确保运营商有效地将关键功能的数字安全风险降低到社会可接受的水平;

•促进和建立基于信任的伙伴关系;

•加强国际合作。

该建议还澄清了这一公共政策领域如何与更广泛的国家风险管理/关键基础设施保护政策相关联。各国政府应采取强有力的计划,在中期内加强医疗保健部门和中小企业的数字安全。

6、需要采取积极主动的政策来改善医疗保健部门和中小企业的数字安全。

新冠肺炎危机引起了人们对中小企业和地方政府等小型机构数字安全薄弱处的关注。像大型企业一样,由于COVID-19疫情的爆发,他们被迫改用远程办公,有时是在一夜之间。这种转变增加了攻击的可能性,并引入了新的漏洞。例如,许多中小型企业没有虚拟专用网络(VPNs),没有使用多因素认证来进行远程访问,或者必须允许员工使用自己的设备,这些设备不像企业提供的设备那样安全。

此外,危机暴露了卫生保健部门的脆弱性。正如OECD20204月的政策简报(OECD, 2020[3])中强调的那样,在危机期间,有多个恶意行动者针对医疗保健部门的案例,包括分布式拒绝服务(DDoS)和对法国、德国、西班牙和捷克共和国医院的勒索软件攻击。然而,对这类机构的攻击既不是新鲜事,也不罕见。多年来,人们已经发现并记录了该领域数字安全风险管理方面的重大差距。在许多国家,包括法国、德国和美国,都发生过针对医院的数字安全攻击。2017,许多医疗机构受到严重打击WannaCry ransomware,特别是在英国,因为他们贫困脆弱性管理过程(即补丁及时没有实现)和依赖操作系统已经达到了他们的使用末期,即不再能获得安全更新。同年,由美国卫生与公众服务部召集的医疗行业网络安全工作组得出结论:“医疗网络安全是一个关键的公共卫生问题,需要立即和积极的关注”。医疗保健部门的这些重大差距往往是由于缺乏认识和技能、数字安全风险所有权有限、缺乏用于数字安全的资源和资金以及缺乏合作和信息共享机制。然而,在许多经合发组织国家,医院和其他卫生机构被视为关键活动的运营者,并受到诸如欧洲联盟网络和信息安全指令等法规的约束。

各国政府应制定雄心勃勃的计划,解决中小企业和医疗保健部门在数字安全方面的重大差距。培育一个多方利益攸关方数字安全生态系统,对于在危机期间实现信息共享至关重要

7、在危机期间,关于风险的信息共享至关重要,而且往往依赖于一个由可信任的伙伴组成的预先存在的生态系统。

COVID-19大流行还突出了公共政策框架在加强关键活动的数字安全方面的作用。这些框架明确了关键活动的操作人员,并设定了他们应满足的数字安全风险管理要求。《关键活动的数字安全建议》(OECD, 2019[2])为各国政府在这一领域提供了一套政策建议(见下表)

在许多国家,数字安全机构已与医院等运营商建立了通信渠道,以促进关于新出现威胁的信息共享,并在必要时提供技术援助。然而,在一些国家,政府必须完善其卫生保健部门关键活动的经营者名单,以包括参与其供应链的组织,如口罩、医疗检测和呼吸机的生产商和分销商,或疫苗研究中心。政府必须迅速识别这些行为者,告知他们潜在的数字安全威胁和要实施的安全措施,并建立通信渠道,以便在中断时提供潜在的帮助。

参考资料:

1 http://www.oecd.org/coronavirus/policy-responses/seven-lessons-learned-about-digital-security-during-the-covid-19-crisis-e55a6b9a/  


注册成为正式用户,登陆后,获得更多阅读功能与服务!
转载本文需经本平台书面授权,并注明出处:上海情报服务平台www.istis.sh.cn
了解更多信息,请联系我们

§ 请为这篇文章打分(5分为最好)