印度尼西亚通过讨论网络安全法草案启动了其战略举措。不过,政府和议会尚未就该法案的多项内容达成一致。另一方面,制定战略性、全面的网络安全方法的紧迫性从未像今天这样重要。
其政府官方网站遭受了多起网络攻击,引发了人们对国家网络安全状况的信任程度的担忧。国家网络和加密机构(BSSN) 在 2022 年记录了超过 370022283 起网络攻击,较 2021 年的 266741784 起有所增加。
应对这些恶意网络渗透造成的严重影响,但在缺乏网络安全法作为指导的情况下,我们应该如何减轻与网络领域相关的风险?
目前的方法
政府颁布了多项涉及网络安全的法规。例如,2008 年关于电子信息和交易的第 11 号法律通过向电子系统提供商施加义务来实现网络保护。保护电子信息的机密性、可用性、真实性和可访问性是电子系统提供商在其系统内获取安全、健全的网络环境的义务的一部分。
此外,政府通过国家网络和加密机构颁布了关于电子安全系统的国家网络和加密机构 2020 年第 8 号法规。该规定强调,所有电子系统提供商必须进行自我评估,以确定其系统属于哪一风险类别。结果必须报告给国家网络和加密机构,并且他们必须根据其类别遵守网络安全义务。
如果属于高风险类别,则必须获得特定的 SNI ISO.IEC 27001 以及部门确定的其他应用标准。这种方法引入了基于风险的方法,以确保通过风险管理方法正确管理网络管理。印度尼西亚颁布了关于重要信息基础设施的 2022 年第 82 号总统条例,确定了九个重要信息基础设施部门。所有电子服务提供商都必须接受其相关部门的管理,以履行任何网络安全义务。
此外,政府还发布了关于网络危机管理和国家网络安全战略的 2023 年第 47 号总统条例。国家网络和加密机构被授权制定行动计划来执行国家网络安全的重点领域,包括风险管理计划。风险管理计划侧重于风险识别、风险分析和缓解措施。 ? ? ? ? ? ??
网络弹性的风险方法
从战略上讲,任何开展数字活动的国家都必须创建并实施网络弹性框架。该框架旨在确保网络环境从规划到维护过程得到妥善管理。它也成为政府制定一系列政策的参考。网络弹性的风险管理属于规划过程。该部门的风险管理包括风险评估系统、治理和网络弹性策略。评估系统对于确定标准化的风险评估方法和风险映射非常重要,风险映射结果应通过网络弹性策略中规定的一套政策和法规来执行。
网络治理受到风险映射和缓解计划的影响,任何类型的支持措施都必须由政府主导,即建立网络权威、施加义务、规定禁止、管理跨部门数字流程(例如综合许可或网络事件报告和整改)。不幸的是,印度尼西亚尚未建立这种方法,许多专家认为需要通过关注关键部门的风险管理方法来实现战略网络弹性。
关键部门的网络安全
保护关键部门的网络安全非常重要,因为任何受到网络攻击的系统都可能阻碍政府的公共服务并使国家处于危险境地。想象一下,如果我们看布鲁斯·威利斯主演的《虎胆龙威4》,我们可以看到恐怖分子进行的网络攻击使水、电、军事安全系统瘫痪,造成经济和政治的混乱和动乱。关键部门的网络进程影响一个国家的稳定,必须需要具体的保护和缓解计划。
在英国,关键部门通过《2018 年网络和安全法规》和《国家风险评估》下的风险管理方法进行管理。这两项政策破坏了政府通信总部下的特定国家网络安全中心作为单一联络点和网络安全事件报告。此外,评估将成为风险管理策略和缓解计划的基础,所有利益相关者(从部委到相关数字服务提供商)都应执行该策略和缓解计划。
爱尔兰作为网络安全领先国家之一,还通过与 An Garda Siochana(警察机构)、爱尔兰总理府国家安全分析中心等其他政府实体合作,进行持续风险评估,实施国家网络风险管理、爱尔兰中央银行、公用事业监管委员会 (CRU) 和通信监管委员会 (Comreg)。
执行基于风险的网络安全策略方法应至少包含两点。首先,政府必须确保所有利益相关者按比例执行该过程。这意味着利益相关者的正确识别必须充分考虑该领域所有参与者的当前能力,特别是从事重要信息基础设施下任何部门的任何提供商。
如果提供商是初创企业,政府必须通过国家网络和加密机构与相关部委确保其培育政策逐步符合政策。监管沙箱或初创企业孵化器可能是采购培育过程中的替代解决方案。这使得初创企业能够长久生存,同时维护网络安全利益。其次,必须确保国家网络和加密机构进行的风险管理的交叉协调和执行必须与相关部委的风险管理政策保持一致。
这是一个具有挑战性的过程,因为我们在政府内部几乎每个部门都看到了很多自我部门。如果我们能找到正确的方法来更好地协调,我们的问题就已经解决了一半。