尽管英国公共部门频繁遭受网络攻击,但政府新推出的《网络安全与韧性法案》(CSR 法案)却将中央和地方政府排除在外。批评者认为,此举削弱了政府的责任,表明网络安全并非真正的优先事项。作为回应,政府推出了一个不具法律约束力的《网络行动计划》,但其有效性受到普遍质疑。这一决定,加上审计报告揭示的政府系统严重安全漏洞,让人对政府保障网络安全的承诺深感担忧。
一项引发争议的法案
英国政府面临的网络安全威胁日益严峻。国家网络安全中心 (NCSC) 的报告显示,其处理的攻击中有 40% 针对公共部门,且这一数字预计还会增长。然而,政府最新的旗舰法案《网络安全与韧性法案》却将政府自身排除在监管范围之外。
- 法案目标: 该法案旨在更新过时的 2018 年网络法规,并将管理服务提供商和数据中心等纳入监管。
- 核心争议: 与欧盟的同类法规不同,英国的法案排除了中央和地方公共机构,引发了广泛批评。
立法强制性是关键
许多人认为,仅靠意愿无法确保政府部门真正重视网络安全。前数字大臣奥利弗·道登爵士在议会中敦促政府重新考虑这一决定。
“根据我的经验,网络安全是那种部长们口头上说重视,但很快就会被其他优先事项取代的事情。立法要求的优势在于,它能迫使部长们去思考这个问题。”
道登担心,如果不能将相关责任写入主要立法,网络安全问题在政府的待办事项清单中只会不断下滑。
无法令人信服的替代方案
为了回应质疑,政府在法案进行二读前几小时推出了《政府网络行动计划》。
- 计划内容: 声称将要求政府部门遵守与 CSR 法案同等的安全标准。
- 致命缺陷: 该计划没有任何法律约束力。
批评者认为,这只是一个安抚外界的工具,并不能带来真正的安全承诺。法律专家尼尔·布朗一针见血地指出:
“如果政府真的打算用与法案相同的标准来要求自己,那么它就没什么好怕被纳入法案的,因为按照定义,它将是合规的。”
不同的立法路径或许更合理
也有专家认为,分阶段、有针对性地立法可能是一种更明智的选择。
- 专门立法: 就像英国针对电信行业有专门的安全法案一样,为公共部门制定一部特定的网络安全法案或许更有效。
- 小步快跑: 相比试图制定一部“包罗万象”的庞大法案,推出范围更小、目标更明确的法案,并根据需要进行迭代,可能更为明智。
然而,这种做法能否在速度和全面性之间取得平衡,仍是一个未知数。
脆弱的现实与受损的信誉
政府将自己排除在外的决定,与其公共系统脆弱的现实形成了鲜明对比。国家审计署的报告揭示了政府关键系统的糟糕状况,在审查的 58 个最关键系统中,发现了大量的安全漏洞,且修复速度惊人地缓慢。
每当一个政府机构、地方议会或医疗服务系统遭到攻击,政府不将公共部门纳入法案的决定,都会再次引发外界对其网络安全承诺的质疑。即使有《网络行动计划》作为挡箭牌,这种不愿接受法律约束的态度,也无法让人们对其改善安全状况的诚意产生信心。