0
Singapore is voorgesteld cybersecurity wetsvoorstel heeft ertoe geleid dat de behoefte is aan meer duidelijkheid rond het verlenen van service providers, de overheid aansprakelijkheid en vertrouwelijkheid, maar haar doel te duwen cybersecurity als een top prioriteit voor alle bedrijven is zeker nu bereikt.
De singaporese overheid op maandag onthulde details van het wetsontwerp, waarin nieuwe wetgevingen die zou vereisen operators van lokale kritische informatie-infrastructuur (kii ‘ s) om maatregelen te nemen ter bescherming van hun systemen en snel melden van bedreigingen en incidenten. Uitgebracht door het Ministerie van Communicatie en Informatie (MCI) en Cyber Security Agency (CSA), de voorgestelde nieuwe wet zou ook het faciliteren van het delen van informatie over kritieke sectoren en vereisen geselecteerde service providers als individuen te worden gelicentieerd.
De factuur vermeld 11 “essential services” beschouwde sectoren te bedienen kii ‘ s: water, gezondheid, maritiem, media, infocommunications, energie, bankwezen en financiën, veiligheid en hulpdiensten, vervoer te land, de luchtvaart, en de overheid.
Dus wat zouden organisaties nodig hebben om nota van te nemen om de naleving te garanderen?
Om te beginnen, bedrijven in CII sectoren behoefte aan het benoemen van een “CII eigenaar”, die het wetsvoorstel had geïdentificeerd die verantwoordelijk is voor de bescherming van de kii ‘ s in hun organisatie, zei Daryl Pereira, cybersecurity hoofd bij KPMG in Singapore.
Het wetsvoorstel gedefinieerd CII eigenaren als degenen die de controle over de activiteiten van CII infrastructuur en de mogelijkheid tot het uitvoeren van wijzigingen aan dergelijke infrastructuren en wie waren er verantwoordelijk voor “de continue werking” van CII-Infrastructuren.
In de sector overheid, CII eigenaren zou verwijzen naar het ministerie van de vaste secretaris, die verantwoordelijk was voor de begroting van goedkeuringen in verband met CII, of de chief executive of een equivalent van een officiële instantie is.
Pereira zei CII-eigenaren zouden moeten zorgen dat hun organisatie voldaan aan haar wettelijke taken, inclusief de rapportage van cybersecurity-incidenten naar CS, het deelnemen in nationale cybersecurity-oefeningen en het uitvoeren van reguliere controles op kii ‘ s.
In het bijzonder, merkte hij op, moeten ze worden zich bewust van het mandaat om snel rapport cybersecurity bedreigingen en incidenten, alsmede het nemen van passende maatregelen ter beperking van verdere schade aan de organisatie en de gehele sector, moet de dreiging hebben veel effect.
“Het wetsvoorstel geeft een impuls voor de industrie de verantwoordelijkheid te nemen voor de bescherming van hun CII door het accent te leggen op de benoeming van CII eigenaren op het individuele niveau in plaats van op het niveau van de onderneming,” legde hij uit. “In veel gevallen, de hoogste persoon in de organisatie kan waarschijnlijk worden de aangewezen CII-eigenaar.”
Dit zou “verstrekkende gevolgen” op de hoe rollen en verantwoordelijkheden binnen deze organisaties werden ontworpen, zei hij. “Het zal meer zichtbaarheid van cybersecurity zaken aan de raad van bestuur en de c-suite niveaus en, uiteindelijk, zal het verhogen van de investeringen op het gebied van cyberbeveiliging bereidheid in alle sectoren in Singapore,” zei Pereira.
Het citeren van de KPMG-enquêtes, hij zei landen in Europa en de VS bereikt hogere cybersecurity bereidheid toen was er waardering die cyber risico is een business probleem en wanneer zowel de zakelijke als de IT-hoofden veronderstelde mede-eigendom van dergelijke initiatieven.
Gevraagd naar zijn mening over het wetsvoorstel, Quann directeur Foo Siang-tse zei de oprichting van een nationale regelgeving en vergunningen regime was een goede stap vooruit, in het bijzonder een bedreiging landschap dat werd steeds complexer.
De lokale veiligheid verkoper niet in staat was om te onthullen het aantal CII eigenaren ondersteund, maar bevestigde het aanbieden van diensten aan verschillende bedrijven waaronder toezichthouders en eigenaren in de CII sectoren.
Singapore onthult drastische stap die zet de overheid in het pre-internet tijdperk
Singapore overheid is het blokkeren van toegang tot internet op alle werkstations die gebruikt worden door werknemers in de publieke sector van Mei 2017, in een beweging die gooit kritische vragen over de slimme, land en e-government diensten.
Foo zei dat het wetsvoorstel “terecht” geplaatst is, dat de verantwoordelijkheid op de CII-eigenaars te beschermen hun cybersecurity, het opladen van hen met de plicht om het gedrag van belangrijke initiatieven, zoals audits en risicoanalyses.
Deze zou ervoor zorgen dat de bedrijven had robuuste cybersecurity-beleid, infrastructuur, en de mogelijkheden, voegde hij eraan toe, wijzend dat het ook onderzocht die “scheve markt voorkeur” voor de veiligheid van apparaten, terwijl het bedrijf audits en processen.
Hij merkte op dat de professionele normen van cybersecurity service providers en personeel zouden worden verscherpt door middel van certificering en een code van ethiek, naar de achtergrond, en de certificering van vaardigheden. Deze zou zorgen verder voor ondernemingen werden goed geïnformeerd en goed te beschermen, zei hij.
Foo zei: “de informatie-asymmetrie in de markt, vooral voor de kopers, cybersecurity service providers moeten worden onderworpen aan de regelgeving over wangedrag, zoals het verstrekken van valse verklaringen en aanbevelingen gemaakt zonder basis.”
CenturyLink ‘ s Azië-Pacific vice-president van de IT-services en managed hosting, Francis Thangasamy, was het ermee eens: “Dit wetsvoorstel lijkt te zijn met de opzet van het rijden duidelijker verantwoording over de industrie, de consistentie in de publieke en private sectoren, en proactieve cybersecurity maatregelen.”
De vraag hoeveel CII operators het hier niet ondersteund, Thangasamy ook weigerde te onthullen details. Hij zei dat de VS de verkoper nog een evaluatie van het wetsvoorstel om te bepalen of het nodig is om het verwerven van een licentie zou doen als dat nodig is.
Duidelijkheid nodig over wat voor soort diensten licentie nodig
Foo ook, meer details worden gegeven over het soort diensten dat zou worden beschouwd als onder het wetsvoorstel. Vaststellend dat Singapore was één van de eerste landen in de wereld te reguleren cybersecurity service providers, zei hij: “Gezien het brede spectrum van cybersecurity services die beschikbaar zijn in de markt, van penetratie testen, beveiliging bewaking, incident response, forensisch onderzoek, duidelijkheid nodig over wat de twee soorten diensten, met name van niet-onderzoekende cybersecurity diensten.”
Onder het wetsvoorstel, leveranciers, die zowel voor de onderzoeks-en niet-onderzoekende cybersecurity werk zou een licentie nodig. Deze omvatten zowel organisaties als medewerkers die penetration testing services en managed security operations centers (SOCs).
Het wetsvoorstel geschetst investigative services zoals degenen die betrokken zijn “om de controls geïmplementeerd in de ander ‘s computer of computer systeem” of waar de mensen het uitvoeren van de dienst was “een diep niveau van toegang tot de computer of het systeem waarvoor de service wordt uitgevoerd, of voor het testen van de cybersecurity verdediging van de computer of de computer-systeem”.
Investigative services inbegrepen het uitvoeren van forensisch onderzoek van systemen, onderzoeken, testen of evalueren van de cyberveiligheid van systemen, en het zoeken naar kwetsbaarheden in systemen.
Individuen die investigative services zou ook een licentie nodig. Het niet verkrijgen van een kan resulteren in een boete van tot N$50.000 of een gevangenisstraf van maximaal twee jaar of beide. Bovendien, licentiehouders die niet voldoet aan alle voorwaarden en bepalingen die kunnen worden geconfronteerd met een boete van tot N$10.000 of gevangenisstraf van maximaal één jaar, of beide.
Pereira zei dat de beweging om een licentie voor deze geselecteerde leveranciers en particulieren leek te duiden op een verlangen om te verbeteren kopers zekerheid over hun service providers’ mogelijkheden en geschiktheid aan te bieden, wat kan het soms worden geacht, opdringerige cybersecurity diensten. De licentie-aanpak ook zou verhogen van de kwaliteit van de bar voor alle cybersecurity service providers, voegde hij eraan toe.
Wanneer ze in contact, Fortinet ook niet in staat was om te onthullen hoeveel CII klanten had in Singapore. De country manager Thiantara Kruathorn, hoewel, bevestigde de verkoper klantenkring hier opgenomen de overheid, telecombedrijven, financiële instellingen, gezondheidszorg, media bedrijven, en utility services providers.
Terwijl het zou meer tijd nodig hebben om te gaan door het wetsontwerp, Fortinet geloofden dat de nieuwe wetten-indien aangenomen–zou een aanzienlijke verbetering van Singapore ‘ s cyber verdediging. Kruathorn opgemerkt dat het wetsvoorstel zou worden slechts de eerste stap vooruit en handhaving zou van cruciaal belang zijn.
CSA zou hebben om de juiste mechanismen om te zorgen voor alle betrokken partijen gehouden aan de regels, zei hij. “Als het wetsvoorstel is beperkt tot de bevoegdheid van Singapore, de overheid moet blijven samenwerken met instanties buiten onze grenzen om te gaan met cybercriminelen die woonachtig zijn in het buitenland,” merkte hij op. “Dit zou onder andere organisaties, zoals Interpol en computer emergency response teams (cert’ s) in landen over de hele wereld.
“Dit is belangrijk, omdat veel aanvallen van cybercriminelen Singapore belangen zijn niet in dit land,” zei hij. “Het wetsvoorstel is een work in progress. Het moet verfijnd worden als de zakelijke omgeving en cybersecurity eisen veranderen. Cybersecurity belanghebbenden moeten geven van de singaporese overheid, en een ander, openhartige feedback als ze gaan werken in de komende jaren.”
Vertrouwelijkheid moeten voorrang verlenen aan het verzoek van de regering
Een ding is wel duidelijk. Met de CSA gemachtigd om informatie te verkrijgen om vast te stellen of een systeem voldeed aan de criteria van een CII, organisaties beïnvloed door de rekening zou hebben om te gehoorzamen aan dergelijke verzoeken, en binnen “een redelijke termijn vermeld in de kennisgeving”.
Buitenlandse of lokale leveranciers beïnvloed door de nieuwe wet zou niet in staat zijn om cite vertrouwelijkheid wanneer u wordt gevraagd om gegevens te verstrekken voor of na een incident, zegt Bryan Tan, partner bij advocatenkantoor Pinsent Masons, die gespecialiseerd is in technologie en telecommunicatie.
“Een wettelijke bevoegdheid te verlangen dat de productie van de informatie troeven geheimhoudingsplicht,” Tan opgemerkt. “De vraag die waarschijnlijk moet worden verduidelijkt, is echter de vraag of legal privilege wordt nog steeds beschermd worden.”
Legal privilege beschermt de communicatie tussen advocaten en hun cliënten worden openbaar gemaakt zonder voorafgaande toestemming van de opdrachtgever.
Onder het wetsvoorstel, CII eigenaren waren verplicht om CSA van “een belangrijke cybersecurity incident” en “een ander type van cybersecurity incident” in het kader van hun infrastructuur en installaties die zijn aangesloten op de CII.
Ze moeten ook beschikken over de mechanismen en processen op te sporen cybersecurity bedreigingen. CII eigenaren die niet naar de waarschuwing CSA dreiging van incidenten zou worden geconfronteerd met een boete van tot N$100.000 of gevangenisstraf van maximaal twee jaar, of beide.
Tan geadviseerd bedrijven die cybersecurity services voor het verkrijgen van een licentie en onderstreepte de noodzaak van CII eigenaren bewust te zijn van hun verplichtingen te blijven voldoen. Deze bestond dat hun kii ‘s gecontroleerd ten minste eenmaal per drie jaar alsmede het uitvoeren van een cybersecurity risk assessment van hun kii’ s ten minste eenmaal per drie jaar.
Deze eisen werden geacht niet delegable, zei hij.
Daarnaast cybersecurity service providers die had klanten in de 11 essentiële diensten sectoren beschreven in het wetsvoorstel kan worden bekeken contract opnieuw te onderhandelen, merkte hij op.
Het wetsvoorstel beschreven beheerd SOC diensten omvatten de controle, beoordeling, en de verdediging van een organisatie, de systemen voor het doel van het voorkomen, opsporen en reageren op cybersecurity bedreigingen of incidenten. Dit zou onder andere het voorkomen van ongeautoriseerde toegang tot, wijziging van, of het kopiëren van de gegevens opgeslagen of verwerkt in de systemen.
Het zou kunnen reiken dan de lokale telco ‘ s om cloud leveranciers die gebundeld dergelijke diensten als managed security service providers, zoals CenturyLink, Fujitsu, IBM, Microsoft, en Alibaba Cloud.
Tan genoemd voor duidelijke definities zodat degenen die dat nodig is om actie te ondernemen kon doen. “Het ding over het wetsvoorstel is dan ook niet de uitvoering maar de vraag of de maatregelen effectief zijn om te stimuleren cybersecurity verdediging,” zei hij.
De advocaat wees erop dat het wetsvoorstel was een van de eerste lokale wetgeving op te nemen klokkenluider bescherming.
Gevraagd of de regering de uitsluiting van het land van de wetten op de bescherming persoonsgegevens, maar de opname van de publieke sector als een van de 11 CII sectoren, kan verhogen van eventuele problemen, Tan opgemerkt dat het wetsvoorstel is aangegeven dat de regering niet zou worden vervolgd.
Echter, aangegeven dat werknemers van de overheid en leveranciers werden gehouden, zei hij.
Specifiek, de factuur vermeld: “Niets in deze wet geeft de overheid vervolgd voor een strafbaar feit. Voor de duidelijkheid, niemand is immuun voor vervolging van een strafbaar feit op grond van deze wet door de reden dat de persoon een werknemer is van of is betrokken diensten leveren aan de overheid.”
Tan dan gesondeerd: “Zo, de interessante vraag is, zou een gekozen ambtenaar worden beschouwd als een overheidsfunctionaris?”
Omdat de behoefte aan cyber bedreigingen was het zo dringend is, KPMG Pereira zei dat het wetsvoorstel–in de eerste fase–was de bedoeling om te functioneren naast Singapore Wet Bescherming persoonsgegevens (PDPA). Dit zou sturen van organisaties in zowel de private als de publieke sector focus en prioritering van de inspanningen in de bescherming van kritieke informatie-activa.
“Zodra de cyber bereidheid is begonnen om te rijpen tegen de uitgangssituatie vastgelegd door de cybersecurity wetsvoorstel, is het waarschijnlijk dat de MCI [en] CSA zal streven naar harmonisatie van de overlappingen tussen de Cybersecurity Act en de PDPA,” zei hij.
Vroeg of CenturyLink verwachte problemen met de cliënt de vertrouwelijkheid in de mogelijkheid die het kan hebben om informatie te delen met CSA, Thangasamy zei organisaties beïnvloed door de voorgestelde regels al zou begrijpen van dergelijke voorschriften. Hij zei dat de leverancier erkend “de ernst van vertrouwelijkheid”.
“Ideaal, moet er een aanpassing aan wat u verwacht van een organisatie of de eindgebruiker perspectief en de managed security services (MSS) provider”, zei hij. “Uiteindelijk CSA zal worden gezorgd voor samenhang, ongeacht of de klant beheert hun beveiligingsstatus op hun eigen of ze besluit om samen met een MSS provider.”
0