欧洲联盟(EU)正在加快推进《网络与信息系统网络安全指令(NIS2 指令)》等与网络安全相关的立法。在韩国国内,也有观点参考欧盟立法动向,提出在网络安全方面不仅要有技术层面的应对,还需要制度层面的应对。主张认为,政策上应当予以支持,使社会在遭遇大规模网络攻击时,不仅是简单阻止和惩罚攻击行为,而是将重点放在确保社会必需功能能够正常延续的“复原力”上。
韩国互联网振兴院(KISA)法制研究组组长 Yoon Jiyoung 于本月15日在光化门会见记者时作出上述表示。
新冠疫情暴发后,社会各领域面临的网络攻击范围和风险不断扩大。欧盟正在《构建数字未来》《欧洲复苏计划》《欧盟安全联盟战略》等主要政策中讨论网络安全战略。尤其是在网络安全措施方面,今年1月正式生效的《NIS2 指令》载明了即便发生大规模网络攻击,也要保障经济和社会基本活动得以延续的复原方案。Yoon 组长表示:“此前主要聚焦于如何惩罚网络攻击,而 NIS2 指令则开始思考如何防御网络攻击,是首次从制度层面进行的系统性探索。”
同样于今年1月生效的《关键实体复原力指令(CER 指令)》规定了针对自然灾害、恐怖袭击等各类威胁保护关键实体的义务及其复原战略,其中也包括网络威胁。另外,《网络复原力法(CRA)》要求对所有直接或间接连接设备或网络并进行数据交互的产品适用网络安全标准,从而强化企业责任。
Yoon 组长表示,应参考欧盟的做法,在韩国国内推动对网络安全监管的认知转变,即在网络攻击发生时,要通过政策手段保障社会关键功能的复原。他指出:“网络安全往往从技术角度切入,而欧盟则从政策视角,在制度和规范层面进行布局。”他解释称:“例如企业遭受攻击时,作为受害者,可能很难追究其责任,但欧盟认为,只要是提供对社会具有重要意义的服务,就应当在一定程度上承担责任。”
随后,KISA 组长 Choi Youngjun 介绍了“零信任”指南1.0以及零信任实施战略。零信任是一种“绝不轻信、持续验证”的新型安全理念。当用户或设备等发出接入请求时,需要进行严格验证,只赋予其最低限度的权限以允许访问。在黑客组织 Lapsus 通过窃取员工账号,盗取英伟达(NVIDIA)、微软(Microsoft,MS)等多家大型全球企业内部数据的事件之后,零信任受到广泛关注。在韩国,科学技术信息通信部和 KISA 已发布反映本国环境的零信任指南1.0。美国方面也计划根据 Biden 政府的行政命令,在明年9月之前全面引入零信任战略。
然而,近期有观点指出,零信任正在被异化为一种营销术语,被夸大成可以解决所有安全问题的“万能钥匙”。Choi 组长表示:“现在几乎所有企业都说自己在做零信任,但零信任本质上是一种理念。”他指出:“导入零信任并不意味着安全就会变得完美,导入之后仍有许多需要思考的问题。美国国防部也将实施目标期设定为10年。”他还补充说:“需要在尽量减少员工不便的同时,制定能够维持安全性的战略。”
Choi 组长表示:“今年下半年将通过示范项目,在通信、金融、公共等多个领域环境中实现零信任安全模型的落地”,并称“包括企业自主应用示范案例在内,将进一步升级完善指南1.0”。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
![“请多多关照” 近来频频鞠躬九十度走近的他们,一年收入多少 [数据精选]](https://cwcontent.asiae.co.kr/asiaresize/307/2026052010120870131_1779239528.png)
