0
Singapore föreslagna it-säkerhet propositionen har föranlett behov av förtydligande kring licensiering av tjänsteleverantörer, offentliga myndigheters ansvar och kundens sekretess, men dess syfte att driva it-säkerhet som högsta prioritet för alla företag är verkligen fullbordat.
Singapores regering på måndagen presenterade detaljer i lagförslaget, som beskriver ny lagstiftning som skulle kräva att operatörer av lokala kritisk informationsinfrastruktur (CIIs) att vidta åtgärder för att skydda sina system och snabbt rapportera hot och incidenter. Släppte av Ministeriet för Kommunikation och Information (MCI) och Cyber Security Agency (CSA), att den föreslagna nya lagstiftningen skulle också underlätta informationsdelning över kritiska sektorer och kräver utvalda tjänsteleverantörer och individer att vara licensierad.
I propositionen anges 11 “grundläggande tjänster” sektorer som anses fungera CIIs: vatten, hälso -, sjö -, media, infocommunications, energi, bank och finans, säkerhet och räddningstjänst, land transport, flyg och regeringen.
Så vad skulle organisationer behöver för att ta del av för att säkerställa efterlevnad?
Till att börja med, företag i CII sektorer skulle behöva utse en “CII ägare”, som bill hade identifierat att ansvara för och skydd av CIIs i deras organisation, säger Daryl Pereira, it chef på KPMG i Singapore.
I propositionen definieras CII ägare som de som hade kontroll över verksamheten av CII infrastruktur och förmåga att genomföra förändringar till sådan infrastruktur och vem som var ansvarig för att säkerställa en “kontinuerlig drift” av CII Infrastruktur.
I den offentliga sektorn, CII ägare hänvisar till ud: s ständige sekreterare, som var ansvarig för budget godkännanden relaterade till CII, eller den verkställande direktören eller motsvarande av ett lagstadgat organ.
Pereira sade CII ägarna skulle behöva för att se till sin organisation som fullgjort sina lagstadgade uppgifter, som ingår rapportering av it-incidenter till CS, deltagande i nationella it-säkerhet övningar, och att genomföra regelbundna revisioner av CIIs.
Särskilt noterade han att de bör vara uppmärksamma på de mandat att snarast rapportera it hot och incidenter samt vidta lämpliga åtgärder för att minska ytterligare skador för organisationen och större industri, bör hotet har stor inverkan.
“Lagförslaget ger ett incitament för industrin att ta ansvar för att skydda sina CII genom att lägga tonvikten på utnämningen av CII ägare på individuell nivå, snarare än på företagsnivå,” förklarade han. “I många fall, det högsta ranking person i organisationen kan sannolikt vara den som utses CII ägare.”
Detta skulle ha “långtgående konsekvenser” om hur roller och ansvar inom dessa organisationer var utformade, sade han. “Det kommer att driva mer synlighet för it-frågor på styrelsen och c-suite nivåer och, i slutändan, kommer att öka investeringarna på it-säkerhet beredskap inom alla sektorer i Singapore,” Pereira sade.
Med hänvisning till KPMG: s undersökningar, sade han länder i Europa och USA uppnådde högre it-säkerhet beredskap när det var uppskattning att cyber att risken för att en verksamhet och när både affärs-och IT-cheferna antas gemensamt ägande av sådana initiativ.
Frågan om hans tankar om lagförslaget, Quann vd Foo Siang-tse sade om inrättande av ett nationellt regelverk och system för tillståndsgivning var ett rätt steg framåt, särskilt i ett hot landskap som blev mer och mer komplexa.
Den lokala säkerheten säljaren var inte avslöja antalet CII ägare med stöd av it, men bekräftade att det erbjuds tjänster till olika företag, inklusive tillsynsmyndigheter och ägare i CII sektorer.
Singapore presenterar drastiska drag som sätter regeringen i pre-internet-eran
Singapore regeringen blockerar tillgång till internet på alla arbetsstationer som används av anställda inom den offentliga sektorn från och med Maj 2017, i ett drag som kastar upp kritiska frågor om sin smarta nation och e-förvaltning.
Foo sade bill “rätta” lagt ansvaret på CII ägare för att skydda sin it-säkerhet, laddar dem med skyldighet att utföra viktiga initiativ som granskningar och riskbedömningar.
Dessa skulle se till de företag som hade robust it-politik infrastruktur och kapacitet, tillade han, att notera att det också granskat de som hade “skev marknaden preferens” för säkerhetsanordningar och att man bortser från revisioner och processer.
Han konstaterade att professionella standarder för it-säkerhet tjänsteleverantörer och personal skulle skärpas genom certifiering och etik, bakgrund screening och kompetens för certifiering. Dessa skulle vidare säkerställa att företag som var väl informerade och skyddas, sade han.
Foo sade: “Att ta itu med den informationsasymmetri på marknaden, särskilt för köpare, it-säkerhet tjänsteleverantörer bör vara föremål för reglering över fel, som exempelvis tillhandahållande av falska uppgifter och rekommendationer som ges utan grund.”
CenturyLink: s Asien-Stillahavsområdet vice vd för IT-tjänster samt managed hosting, Francis Thangasamy, instämde: “Detta lagförslag verkar vara med avsikt att köra tydligare ansvar i hela branschen, enhetlighet på den offentliga och den privata sektorn, och proaktiv it-säkerhet åtgärder.”
Frågade hur många CII operatörer it-stöd här, Thangasamy också vägrade att avslöja detaljer. Han sade OSS att säljaren var fortfarande utvärdera lagförslag om att fastställa om det krävs för att förvärva en licens, och skulle göra det om det behövs.
Tydlighet behövs om vilken typ av tjänster kommer att behöva licens
Foo, även kallad för mer information lämnas om vilka typer av tjänster som skulle kunna betraktas som enligt propositionen. Notera att Singapore var en av de första länderna i världen att reglera it-säkerhet tjänsteleverantörer, sade han: “med Tanke på det breda spektrum av it-tjänster som finns på marknaden, från penetrationstester, säkerhets-och övervakningssystem, incidenthantering, till kriminalteknisk undersökning, tydlighet behövs på vad som utgör de två typer av tjänster, särskilt icke-undersökande it-tjänster.”
Enligt lagförslaget, leverantörer tillhandahåller både utrednings-och icke-undersökande cybersäkerhet arbete skulle kräva en licens. Dessa ingår organisationer samt anställda som tillhandahålls penetration testing services och managed security operations center (Soc).
I propositionen beskrivs undersökande tjänster som de som är inblandade “att kringgå kontrollerna som genomförs i annan persons dator eller dator” eller där människor som utför tjänsten har “en djup nivå av tillgång till dator eller system, för vilka tjänsten utförs, eller för att testa it försvar av datorn eller dator”.
Undersökande tjänster som ingår bedriva kriminalteknisk undersökning av system, bedömning, testning eller utvärdering av it-system, och söka efter sårbarheter i systemen.
Individer som erbjuder undersökande tjänster också skulle behöva en licens. Underlåtenhet att inhämta man kan resultera i böter på upp till Sek 50 000 eller fängelse i upp till två år eller både och. Dessutom, licenstagare som misslyckats med att uppfylla något av villkoren kan få böter på upp till S$10.000 eller fängelsestraff upp till ett år, eller både och.
Pereira sade väg att licensiera dessa utvalda leverantörer och personer som verkade tyda på en önskan att förbättra köpare försäkran på sina leverantörer förmåga och lämplighet att erbjuda, vad kan ibland anses, påträngande it-tjänster. Licensiering förhållningssätt som också skulle höja kvalitetsribban för alla it-säkerhet tjänsteleverantörer, tillade han.
När kontaktas, Fortinet också var oförmögen att avslöja hur många CII kunderna hade i Singapore. Dess country manager Thiantara Kruathorn, men bekräftade säljarens kundkrets här ingår myndigheter, telekomföretag, finansiella tjänster institutioner, hälso-och sjukvården, media, företag och allmännyttiga tjänster.
Även om det skulle behöva mer tid för att gå igenom lagförslaget, Fortinet ansåg att den nya lagar–om det gått–skulle avsevärt förbättra Singapore cyber försvar. Kruathorn noterade dock att räkningen skulle vara bara det första steget framåt och verkställighet skulle vara kritisk.
CSA skulle ha att införa mekanismer för att säkerställa att alla inblandade parter har anslutit sig till reglerna, sade han. “Bill är begränsad jurisdiktion i Singapore, regeringen måste fortsätta att samarbeta med myndigheter utanför våra gränser för att hantera cyberbrottslingar som är bosatta utomlands,” konstaterade han. “Dessa skulle omfatta myndigheter som Interpol och computer emergency response team (Cert) i länder runt om i världen.
“Det här är viktigt eftersom många cyberbrottslingar att attackera Singapore intressen inte är baserade i det här landet”, sade han. “Lagförslaget är ett arbete under utveckling. Det måste vara raffinerad som verksamheten miljö-och it-säkerhet krav på förändring. Cybersäkerhet berörda parter måste ge Singapores regering, och en annan, ärlig feedback eftersom de arbetar med det under de kommande åren.”
Kunden sekretess måste ge vika för regeringens begäran
En sak är dock klart. Med CSA befogenhet att inhämta information för att fastställa om ett system som uppfyllde kriterierna för en CII, organisationer påverkas av lagförslaget skulle ha till att lyda en sådan begäran och inom en skälig tidsfrist som anges i kallelsen”.
Utländska eller lokala leverantörer påverkas av att det nya lagförslaget inte skulle kunna cite kund sekretess när de ombads att lämna över information, före eller efter säkerhetstillbud, säger Bryan Tan, partner på advokatfirman Pinsent Masons, som är specialiserade inom it och telekommunikation.
“En rättslig befogenhet att kräva att produktionen av information trumf tystnadsplikt,” Tan noteras. “Den fråga som förmodligen behöver förtydligas, men, är om sekretesskydd kommer fortfarande att vara skyddad.”
Legal privilege skyddar kommunikation mellan advokater och deras klienter från att vidarebefordras utan föregående tillstånd av kunden.
Enligt lagförslaget, CII ägare var skyldiga att anmäla CSA av “en betydande it-incident” och “någon annan typ av it-incident” i förhållande till sin infrastruktur och system som är anslutna till CII.
De måste också ha de mekanismer och processer för att upptäcka it-hot. CII ägare som misslyckades med att varna CSA av hot incidenter skulle få böta upp till S$100.000 eller fängelsestraff på upp till två år, eller både och.
Tan rekommenderas företag som tillhandahåller it-tjänster för att få en licens och underströk behovet för CII ägare att vara medveten om deras skyldigheter i syfte att bo i överensstämmelse. Dessa ingår med sina CIIs granskas minst en gång vart tredje år liksom att genomföra en it-säkerhet och riskbedömning av deras CIIs minst en gång vart tredje år.
Dessa krav anses vara icke-delegable, sade han.
Dessutom, någon cybersäkerhet tjänsteleverantörer som hade kunder i 11 viktiga tjänster som beskrivs i propositionen kan vara att titta på kontraktet omförhandlas, konstaterade han.
I propositionen beskrivs lyckades SOC tjänster till att omfatta övervakning, bedömning och försvar av en organisations system för att förebygga, upptäcka och reagera på it-säkerhet hot eller händelser. Dessa skulle inkludera att förhindra obehörig tillgång till, ändring eller, eller kopiering av data som lagras eller behandlas av system.
Det skulle kunna sträcka sig längre än den lokala telekombolag till att omfatta moln leverantörer som kombinerade sådana tjänster samt managed security service leverantörer, såsom CenturyLink, Fujitsu, IBM, Microsoft, och Alibaba Moln.
Tan kallas för att klara definitioner så att de som behövs för att vidta åtgärder kunde göra så. “Saken är den räkningen är inte så mycket dess genomförande, men om dess åtgärder är effektiva för att öka it-säkerheten försvar”, sade han.
Advokaten påpekade att bill var en av de första lokala lagstiftningen till att omfatta whistleblower skydd.
Frågan om regeringens utestängning från landets lagar om skydd för personuppgifter, men införandet av den offentliga sektorn som en av de 11 CII sektorer, skulle kunna ta upp eventuella problem, Tan noteras att den föreslagna propositionen anges att regeringen inte skulle vara skyldig att väcka åtal.
Men det anges att regeringen anställda och leverantörer var föremål för ansvar, sade han.
Särskilt i propositionen anges: “Ingenting i denna lag gör regeringen riskerar åtal för ett brott. För undvikande av tvivel, ingen människa är immun mot åtal för brott enligt denna lag med anledning av att personen är anställd av eller är engagerade för att tillhandahålla tjänster till regeringen.”
Tan sedan sökt: “Så är den intressanta frågan här är, skulle en förtroendevald betraktas som en statligt anställd?”
Eftersom behovet av att hantera it-relaterade hot var så brådskande, KPMG: s Pereira sade bill–i dess inledande fas–var avsett att fungera vid sidan av Singapores personuppgiftslagen (PDPA). Detta skulle styra organisationer inom både den privata och offentliga sektorn för att fokusera och prioritera insatser för att skydda sina kritiska information tillgångar.
“När it-beredskap har börjat mogna mot gemensam utgångspunkt som anges av it bill, det är sannolikt att de MCI [och] CSA kommer att sträva efter att harmonisera den överlappningar mellan Cybersecurity Act och PDPA,” sade han.
Frågade om CenturyLink väntat några problem med tystnadsplikt i möjligheten att det kan ha att dela information med CSA, Thangasamy sade organisationer påverkas av de föreslagna reglerna redan skulle förstå sådana krav. Han sade säljaren erkänner allvaret i kundernas sekretess”.
“Helst bör det vara en anpassning till vad som förväntas av en organisation eller slutanvändarens perspektiv och managed security services (MSS) leverantör”, sade han. “I slutändan, CSA kommer att säkerställa enhetlighet oavsett om kunden sköter sin säkerhet hållning på sin egen eller de väljer att arbeta med en MSS leverantör.”
0