KrulUA/Getty ImagesMed utvidede angrepsflater og teknologiske infrastrukturer som ikke lenger er fysiske, sier Singapore at deres cybersikkerhetslovgivning må følge med i endringene trussellandskapet og være tilstrekkelig administrert for å holde den kritiske infrastrukturen motstandsdyktig.
Lovforslaget om cybersikkerhet (endringer) ble vedtatt tirsdag etter to behandlinger i parlamentet for å ta opp “skifter i driftssammenheng innen cybersikkerhet” og operasjonelle utfordringer dets administrator, Cyber Security Agency (CSA), møtte midt i slike endringer, sa Janil Puthucheary, Singapores seniorminister for kommunikasjons- og informasjonsdepartementet (MCI), i parlamentet.
Også: AI endrer cybersikkerhet og bedrifter må våkne opp til trusselen
Oppdateringene vil holde tritt med utviklingen innen teknologi og forretningspraksis og utvide CSAs regulatoriske tilsyn til andre enheter og systemer utover fysiske eiendeler. Endringene vil gjøre det mulig for regulatoren å bedre svare på utviklende cybersikkerhetsutfordringer og operere på en risikobasert tilnærming i regulerende enheter, sa Puthucheary.
For eksempel, da Cybersecurity Act først ble etablert i 2018, forsøkte den å regulere CII-er (kritiske informasjonsinfrastrukturer) som var fysiske systemer. Ministeren bemerket imidlertid at ny teknologi og forretningsmodeller siden har dukket opp, spesielt med bruken av cloud computing.
Også: Cybersecurity 101: Everything on hvordan beskytte personvernet ditt og holde deg trygg på nettet
Han bemerket at anslagsvis 60 % av lokale bedrifter bruker en eller annen form for skyteknologi i sine operasjoner, og som et resultat har forretningsmodellene endret seg. Denne endringen førte til utfordringer med å anvende loven, som ble skrevet da fysiske on-premise IT-systemer fortsatt var vanlig og kontrollert eller eid av CII-eieren, sa han.
Med de siste oppdateringene kan CSA bedre regulere CIIer og sikre at disse infrastrukturene tåler trusler på nettet, uavhengig av teknologien eller rammeverket de sitter på, la han til.
Spesielt definisjonen av “datamaskin” og "datasystem" i noen deler av lovforslaget inkluderer nå "virtuelle datamaskiner" og “virtuelle datasystemer”. Det er også inkludert bestemmelser for å fastslå hva eierskap til slike systemer innebærer, da dette kan inkludere både fysiske og virtuelle systemer for å levere essensielle tjenester, sa Puthucheary.
I en virtuell CII, som i en skymiljø der underliggende fysisk infrastruktur kan deles eller enkelt erstattes, ville det ikke være meningsfullt å regulere den underliggende maskinvaren, bemerket han.
Også: De beste VPN-tjenestene (og hvordan du velger den rette for deg)
Den oppdaterte lovgivningen lar myndighetene gjøre det klart at CII-eieren er ansvarlig for cybersikkerheten til dens virtualiserte infrastruktur, ikke tredjeparter som er involvert i forsyningen av den underliggende fysiske infrastrukturen, sa han.
Cybersecurity Act viser 11 CII-sektorer, som inkluderer vann, helsevesen, maritim, infokommunikasjon, bank og finans, og luftfart. Loven skisserer et regelverk som formaliserer pliktene til CII-leverandører i å sikre systemer under deres ansvar, inkludert før og etter at en cybersikkerhetshendelse har inntruffet.
Går utover kritiske infrastrukturer
Økt digitalisering har også resultert i aggregering og deling av vanlige digitale tjenester og funksjoner på tvers av landegrensene for å levere viktige tjenester i forskjellige globale markeder, sa Puthucheary.
Videre er digital teknologi nå en integrert del av livet i Singapore, hvor mer enn 90 % av innbyggerne kommuniserer på nettet, sa han. Organisasjoner bruker også digital teknologi i utstrakt grad, og øker sin teknologiadopsjonsrate fra 74 % i 2018 til 94 % i 2022.
Igjen har denne utviklingen gjort det nødvendig at lovgivningen oppdateres for å sikre bedre viktige tjenester.
“Flere av oss er nå online lenger og online for mer varierte formål. Dette betyr at vi er utsatt for flere cyberrisikoer, ettersom hver digital teknologi vi bruker, hver transaksjon vi foretar, og hver forbindelse mellom datamaskiner, er en mulig vei for angrep," sa Puthucheary og pekte på en økt angrepsoverflate.
Også: Hvordan AI-brannmurer vil sikre de nye forretningsapplikasjonene dine
Han la til at dårlige aktører i økende grad henvender seg til nye måter å bryte systemer på, spesielt gjennom forsyningskjedeangrep eller ved å målrette mot tilstøtende systemer. 2020 SolarWinds-bruddet gjorde det mulig for angriperen å bruke programvarens vanlige oppdateringer til å implantere en bakdør og få fotfeste i nettverkene til organisasjoner som lastet ned og installerte den skadelige oppdateringen. Dette grunnlaget ga angriperen privilegert tilgang til interne nettverk, sa Singapore-ministeren.
“For å forårsake betydelig forstyrrelse av måten vi arbeider og lever på, kan de som mener oss skader ta ned den digitale infrastrukturen vi er avhengige av, eller institusjonene og enhetene som har vår sensitive informasjon eller utfører funksjoner av nasjonal interesse. Derfor, når det gjelder å sikre Singapore i cyberspace, er det ikke lenger tilstrekkelig å regulere cybersikkerheten til CII," sa han.
En ny klausul er inkludert for å regulere leverandører av essensielle tjenester som er avhengige av CII-er som eies av tredjeparter for levering av den essensielle tjenesten. For eksempel kan en tredjepartsleverandør eie, drive og levere et kritisk driftsstyringssystem som brukes av flere leverandører av en viktig tjeneste. Denne tredjepartsleverandøren kan ha større ekspertise innen operativsystemer og kan gjøre det til en lavere kostnad på grunn av etterspørselsaggregering.
Cybersecurity Act fra 2018 sørget ikke for slike miljøer siden det var normen for leverandører av essensielle tjenester å eie og drifte sine kritiske systemer. Men selv med den nye forretningsmodellen, må leverandører av essensielle tjenester fortsatt være ansvarlige for cybersikkerheten og cyberresiliensen til datasystemene som de er avhengige av for å levere de essensielle tjenestene, sa Puthucheary.
Den nye klausulen sikrer at de ikke kan outsource dette ansvaret for cyber, selv om de er avhengige av en tredjeparts datasystem for kontinuerlig levering av den essensielle tjenesten, sa han.
Dette betyr ikke setter leverandører av essensielle tjenester under CSAs regulatoriske tilsyn, men de må sikre at systemene de er avhengige av oppfyller sammenlignbare nettsikkerhetsstandarder og krav til en CII gjennom juridisk bindende forpliktelser, for eksempel kontrakter, forklarte han.
Endringene søker ikke å pålegge cybersikkerhetsforpliktelser på det generelle næringslivet, sa Puthucheary, som svar på spørsmål under parlamentet om kostnadsimplikasjonene av overholdelse.
"[Loven tar sikte på å] regulere cybersikkerheten til systemer, infrastruktur og tjenester som er viktige på nasjonalt nivå fordi avbrudd eller kompromittering av dem kan påvirke vår overlevelse, sikkerhet, sikkerhet eller andre nasjonale interesser," han sa. "Dette er et kjent og begrenset sett med systemer og enheter. Vår tilnærming er målrettet og kalibrert, nettopp fordi vi erkjenner at regulering vil medføre overholdelseskostnader."
Også: Vil du jobbe med AI? Hvordan dreie karrieren din i 5 trinn
Han presiserte at endringene pålegger fire grupper av enheter forpliktelser, som omfatter leverandører av essensielle tjenester, enten de er CII-eiere eller er avhengige av tredjepartsleverandører for CII, og enheter med “spesiell cybersikkerhetsinteresse”, som er IKT-systemer som kan inneholde sensitiv informasjon eller utføre funksjoner som vil skade nasjonale interesser hvis de blir forstyrret.
Den oppdaterte loven gjelder også for eiere av “systemer for midlertidig cybersikkerhet”, der tap av slike systemer midlertidig ville ha en alvorlig skadelig innvirkning på Singapores nasjonale interesser.
CSA må være i stand til å proaktivt overvåke cybersikkerheten til slike systemer, sa Puthucheary.
< p>Store leverandører av "grunnleggende digital infrastruktur" tjenester har også forpliktelser i henhold til den oppdaterte lovgivningen fordi avbrudd i disse tjenestene kan ha “kontinuerlige forstyrrelser” til organisasjoner som opererer i Singapore, sa han.
Også: Ansatte legger inn sensitive data i generative AI-verktøy til tross for risikoen
Bedrifter som faller inn under denne kategorien er oppført i den oppdaterte loven og vil i første omgang dekke skydatabehandling og datasentertjenester. Flere selskaper vil bli lagt til listen etter hvert som nye typer digital infrastruktur får betydning for å støtte behovene til lokale bedrifter og forbrukere, sa ministeren.
Under denne bestemmelsen kan CSA utstede eller godkjenne ytelsesstandarder og retningslinjer som tilbydere av grunnleggende digitale infrastrukturtjenester må ha på plass. Disse leverandørene vil også måtte rapportere cybersikkerhetshendelser som resulterer i avbrudd eller forringelse av tjenestene deres i Singapore eller som har en betydelig innvirkning på deres lokale forretningsdrift.