核電廠。示意圖,與新聞事件無關。

圖片來源: 

IAEA

英國政府周日(1/28)指出,諸如能源、交通、水力、數位基礎設施與健康照護等關鍵產業應部署有效的網路安全措施,若違反規定,最高可處以1700萬英鎊(約7.1億元新台幣)的罰款,預計於今年的5月10日實施。

英國國家網路安全中心(National Cyber Security Centre,NCSC)也在同一天出版了安全措施準則,以協助各個產業部署必要的資安機制。

該決定是基於歐盟於2016年8月通過的「網路及資訊系統指令」(Network and Information Systems Directive,NIS Directive),它也將在今年5月成為英國的正式法令。

NIS指令含有14項安全準則,涵蓋安全系統的管理、風險管理、資產管理、供應鏈的安全管理、服務保護政策、身分與存取控制、資料安全管理、系統安全、彈性的網路與系統、員工的安全意識與訓練、安全監控、異常檢測、回應及回復計畫,以及意外的改善等。

英國政府將設立不同領域的監管機構,以評估關鍵產業的安全機制,確定這些產業能夠防禦或處理日益增加的網路威脅,宣稱若按步就班地依循上述安全準則,即可成功預防諸如WannaCry或系統故障等威脅;亦將設置一個回報系統,以供業者提報各種安全事件,監管機構得以下達具法律約束力的安全改善指令,也有權施以罰款。

對於發生資安意外的企業,英國政府並不手軟,在2015年遭到駭客入侵的英國電信業者TalkTalk與英國電子零售業者Carphone Warehouse皆因外洩數百萬筆的用戶資料而被判罰了40萬英鎊(約1670萬元新台幣)。


Advertisement

更多 iThome相關內容