为了应对日益严峻的威胁,提高网络安全的防御和恢复能力,爱尔兰政府近日发布了国家网络安全五年计划《 2019-2024年国家网络安全战略》,以下简称《战略》。
《战略》提出了进一步发展爱尔兰国家网络安全中心 (NCSC) 的路线图,以及一系列旨在更好地保护政府系统和国家关键国家基础设施 (CNI) 的措施。
正如 2016 年《欧盟网络和信息安全指令》(NIS指令)所建议的那样,爱尔兰国家将重点保护的关键国家基础设施的元素覆盖了能源、交通、饮用水、银行、金融市场和医疗保健。
在接下来的五年中,选举系统和高等教育也将被添加到爱尔兰的 CNI 名册中。
重国轻民?安全专家吐槽
但是,前欧洲刑警组织网络安全特别顾问,来自都柏林的信息安全顾问布赖恩·霍南 (Brian Honan) 对《每日新闻》说:该策略是不完整的,因为它没有太多考虑私营部门的参与。另外一位不具名的业界知名网络安全专家也表示担忧,认为该策略过于针对公共部门和大型数据中心,而不是为爱尔兰境内的本地企业提供支持。
让我感到失望的是,该战略虽然被称为国家网络安全战略,却似乎很少或根本没有关注爱尔兰的本土私营部门和企业。
霍南解释说:该策略的重点主要针对公共部门,欧盟网络信息安全(NIS)指令覆盖的组织以及位于爱尔兰的较大数据提供商。
其实,《战略》强调数据中心安全也无可厚非。因为爱尔兰托管着全球许多领先科技公司的数据中心,数据中心产业是爱尔兰经济发展的技术基础。
《战略》指出,数据中心与云计算的发展相结合,使得对数据中心的保护具有更高的优先级。
但霍南认为:鉴于爱尔兰经济对本地私营企业,尤其是中小企业组织的依赖,我希望看到更多的政策层面的关注和支持。
20个重点行动计划
《战略》包含了 20 个重点行动计划,包括加强威胁情报共享以及在爱尔兰关键国家基础设施内外的组织之间共享最佳实践。
该战略还旨在加强网络安全企业与学术界之间的合作以及技能开发方面的研究工作。
目前,爱尔兰的网络安全领域已经有超过 6,500 名员工,爱尔兰政府希望在未来五年内增加这一数字。
《战略》指出,尽管人们的安全意识水平有所提高,但爱尔兰的网络犯罪事件仍在增加,据报道,有61%的爱尔兰组织在过去两年中遭受了网络犯罪,例如欺诈,平均损失为 350 万美元。
发布《战略》的爱尔兰政府通信部进一步指出,NCSC 在 2016 年和 2017 年遭遇了一系列严重的网络安全事件,突显了爱尔兰现有策略的不足之处,该策略于 2015 年首次发布。
更具体地说,WannaCry 和 NotPetya 的事件管理流程(影响全球的组织勒索软件事件),凸显了威胁情报共享以及 “聚焦国家关键安全挑战” 的重要性,这需要与国家安全部门在运营层面上持续紧密合作。
霍南承认新战略的发布是一个进步,但资金支持也很重要,对于充分实现其既定目标是必不可少的。
他警告表示:与所有策略一样,如果没有高级支持,那么该策略注定会失败。
我当然希望爱尔兰政府向 NCSC 提供适当的资金,人员和政治支持,以确保他们可以充分实施此策略,并帮助爱尔兰并使整个互联网成为一个更加安全和可靠的地方。
《战略》还为爱尔兰政府设置了一组计划,对于即将颁布的欧盟电信法典(第2018/1972号指令)推出一组合规标准,以支持电信基础设施的网络安全。
NCSC 还将帮助制定所有爱尔兰政府部门和主要机构都必须遵守的基准安全标准。
参考资料:
爱尔兰《 2019-2024年国家网络安全战略》(PDF)下载:
https://www.dccae.gov.ie/documents/National_Cyber_Security_Strategy.pdf