託管服務提供者(Managed Service Provider,MSP)已與多家企業的供應鏈有密切的合作,尤其是被歸類為關鍵基礎設施(Critical Infrastructure,CI)供應的組織。他們不僅擁有客戶的基礎架構和應用程式的特權,還可以存取數百萬公民的個人數據。MSP中不良的風險管理和薄弱的安全管控可能會對英國的國家安全和經濟發展產生可怕的後果。
在宏觀層面上,新法規的重點是加強英國的網路彈性,以應對不斷增加的供應鏈和關鍵基礎設施攻擊—這本質上是一個公共安全問題。它可以為英國公民提供安全保障,使其免因金融服務、電信、能源等CI供應商在遭受攻擊時而間接承受負面影響。它同時保護了一些關鍵企業,若是其資產、網路或系統被破壞甚至喪失能力,將可能癱瘓英國負責國家安全、經濟安全、公共衛生等事務的重要機構。
託管服務提供者必須發展更強大的風險管理能力。首先,他們需要將網路風險視為商業風險,並擴大認知到其影響範圍從財務、營運到聲譽,以及最終的監管。因此,他們需要在整個企業中嵌入風險文化並建立風險管理能力,否則將面臨懲罰性監管措施。
一定比例的企業經常忽視不斷增長的網路威脅,並認為這不會發生在他們身上。然而,這些企業不只有中小型企業,還有扮演關鍵領域的大型企業。一部分的企業缺乏專業的網路安全領導者或資訊安全部門,也拒絕投資於必要的控制和功能,甚至經常向員工、客戶和投資者隱瞞違規行為。在政府沒有訂定新規範前,若是輕忽網路威脅的嚴重性,將會付出相當高的代價。
相關連結:
Niel Harper (2022). The UK Seeks to Enforce Tougher Standards on MSPs. CircleID.
檢自:
https://circleid.com/posts/20220121-the-uk-seeks-to-enforce-tougher-standards-on-msps (Feb. 04, 2022)
