【明報專訊】本港早前通過《保護關鍵基礎設施條例》,規管重要設施(如電力公司)要做好電腦網絡安全。新加坡2018年已推行同類《網絡安全法》,每次指明關鍵基建時間為期5年,並可續期。新加坡網絡安全局策略及規劃部司長易嘉維(圖)接受本報專訪時解釋,法例寫法促使當局要定期檢討,否則規管關鍵基建名單只會不斷增加,而立法以來受規管營運者也確有增減。當地去年再修例,將雲端服務供應商、數據中心等納規管,易嘉維強調做法以風險為本,並非將法網愈拉愈大。
名單不公開 公私三七比
新加坡法例與本港一樣,「關鍵信息基礎設施」的營運者具體名單或數目不對外公開。當地《網絡安全法》目前涵蓋11類基礎服務,包括能源、銀行、醫療、保安、政府運作等,下分46類細項,涵蓋監獄保安、行李及貨櫃處理等。根據網絡安全局提供數據,當中約三成是公營,七成是私營企業,後者部分為外資。
稱違規少 與營運者關係好
回顧法例生效至今,易嘉維說,營運者違規及需要執法「非常罕有,甚至從未發生」,他歸功於與營運者保持十分良好的伙伴關係:「當事故發生時,我們關注點不在於追究責任、查找錯處,我們關注的是補救措施及防止再次發生。」他笑言,新加坡作為小國,好處是所有人互相認識,當局經常共享資訊及情報,毋須待出事或違規才聯絡。
《網絡安全法》規定每次指明關鍵基建為期5年。易嘉維表示,從法律角度,無列明時限並非好做法,目前法例時限迫使當局定期重新評估關鍵基建的狀態,包括向營運者詢問防禦措施及必要服務現况,「因為關鍵基礎設施的許多方面如商業模式、市場份額等可能隨時間改變」。他說:「假如指定並無期滿限制,可能會一直保持指定狀態。如果沒有檢討機制,受規管機構可能會永遠留在名單上。」
支票作例 稱規管因時制宜
易表示,過去營運者名單也確有增減,舉例說:「一個真實情况是可能10年、20年前,處理支票的程序和系統很重要,是當時的必要服務,缺少他們,日常運作可能受阻。時至今日,已甚少人用支票,大部分都是網上轉帳等,支票處理系統便不再那麼重要,便不用規管它。」
新加坡去年修例,規定雲端服務供應商及數據中須符合一定基準,當地數碼發展及新聞部也計劃今年推出《數碼基礎設施法案》。負責去年修例的易嘉維解釋,當地高度依賴數碼基礎設施,如雲端及數據中心,需確保資訊安全及韌性。他又稱不能排除日後規管範圍會進一步改變,尤其新技術出現,一旦社會受影響,便可能要規管,同時倘不再依賴某些技術,便可能不用再規管。
「留意守法成本 合理權衡」
易嘉維說:「我們的目的並非要規管愈來愈多、或擴大法律權限……我們背後的原則,是所有事都以風險為本,同時我們很留意守法成本及對必要服務提供者施加的要求。當中要有合理的權衡取捨。」