0
Singapore ‘ s foreslåede cybersecurity bill har bedt om behovet for en afklaring omkring godkendelse af udbydere, er de offentlige myndigheders ansvar, og kundens fortrolighed, men målet at skubbe cybersecurity som en top prioritet for alle virksomheder er helt sikkert nu gennemført.
Singapores regering på mandag afsløret detaljer af lovforslaget, der skitserer nye lovgivning, der ville kræve lokale operatører af kritisk informationsinfrastruktur (kritisk Informationsinfrastruktur) at tage skridt til at beskytte deres systemer og hurtigt rapport, trusler og hændelser. Udgivet af Ministeriet for Kommunikation og Information (MCI) og Cyber Security Agency (CSA), forslag til nye love, der også vil lette udveksling af oplysninger på tværs af kritiske sektorer og kræver udvalgte leverandører samt enkeltpersoner til at have licens.
Lovforslaget, der er opført 11 “væsentlige services” områder, der anses for at drive kritisk Informationsinfrastruktur: vand -, sundheds -, sø -, medie -, infocommunications -, energi -, bank-og finanssektoren, sikkerhed og nødhjælp, jord, transport, luftfart, og den danske regering.
Så hvad ville organisationer er nødt til at tage til efterretning, at sikre overholdelse?
Til en start, virksomheder i CII sektorer vil være nødvendigt at udpege en “CII ejer”, som bill havde identificeret til at være ansvarlig for beskyttelse af kritisk Informationsinfrastruktur i deres organisation, sagde Daryl Pereira, cybersecurity hovedet i KPMG i Singapore.
Lovforslaget, der er defineret CII ejere som dem, der havde kontrol over driften af CII infrastruktur og evne til at gennemføre ændringer i en sådan infrastruktur, og hvem der var ansvarlig for at sikre “den fortsatte drift” af CII Infrastruktur.
I den offentlige sektor, CII-ejere, vil gerne henvise til ministeriets departementschef, hvem der var ansvarlig for budget godkendelser, der er relateret til CII, eller den administrerende direktør eller tilsvarende af en lovbestemt organ.
Pereira sagde CII ejere vil være nødvendigt at sikre, at deres organisation har opfyldt sine forpligtelser, der indgår rapportering cybersecurity hændelser til CS, der deltager i nationale cybersikkerhed øvelser, og at gennemføre regelmæssige revisioner af kritisk Informationsinfrastruktur.
I særdeleshed, bemærkede han, at de bør være opmærksom på mandat til hurtigt rapport cybersecurity, trusler og hændelser samt træffe passende foranstaltninger til yderligere at begrænse skade på organisationen og større industri, bør den trussel har omfattende konsekvenser.
“Lovforslaget giver et incitament for branchen til at tage ansvar for at beskytte deres CII ved at lægge vægt på udnævnelsen af CII ejere på det individuelle plan, snarere end på virksomhedsniveau,” forklarede han. “I mange tilfælde, den højest rangerende person i organisationen kan forventes at være udpeget CII ejer.”
Dette ville have vidtrækkende virkninger” på, hvordan roller og ansvar i sådanne organisationer blev designet, sagde han. “Det vil skabe mere synlighed af cybersecurity spørgsmål på tavlen og c-suite niveauer og i sidste ende vil øge investeringen på cybersecurity rede på tværs af alle sektorer i Singapore,” Pereira sagde.
Med henvisning KPMG ‘ s undersøgelser, sagde han lande i Europa og USA, der er opnået højere cybersecurity er parat, når der var forståelse for, at cyber risiko var et business spørgsmål, og når både forretnings-og IT-hoveder antages fælles ejerskab af sådanne initiativer.
Spurgte om hans tanker om lovforslaget, Quann ‘ s administrerende direktør Foo Siang-tse sagde om oprettelse af de nationale regulerings-og licensordning, der var det rigtige skridt fremad, især i trusselsbilledet, der blev mere og mere komplekse.
Den lokale sikkerhed sælger ikke var i stand til at afsløre antallet af CII ejere af it-understøttet, men bekræftede, at det, der tilbydes tjenester til forskellige virksomheder, herunder regulatorer og ejere i CII sektorer.
Singapore afslører drastisk træk, der sætter regeringen i pre-internet æra
Singapores regering blokerer adgang til internettet på alle arbejdsstationer, der anvendes af ansatte i den offentlige sektor fra Maj 2017, i en bevægelse, der kaster op kritiske spørgsmål vedrørende sin smart nation og e-forvaltningstjenester.
Foo sagde bill “rette” placeret ansvaret på CII ejere til at beskytte deres cybersecurity at oplade dem med pligt til at foretage vigtige initiativer såsom revision og risikovurdering.
Disse ville sikre, at de virksomheder, der havde robust cybersecurity politikker, infrastruktur og kapacitet, tilføjede han, at bemærke, at det også undersøgt dem, der havde “skæve marked fortrinsret” for sikkerhedsudstyr, mens de forsømmer revision og processer.
Han bemærkede, at de faglige standarder for internetsikkerhed udbydere og personale ville blive strammet op gennem certificering og etik, baggrund, screening og certificering af kvalifikationer. Disse vil yderligere sikre, at virksomheder, der var godt informeret og ordentligt beskyttet, sagde han.
Foo sagde: “for At imødegå asymmetrisk information i markedet, især for købere, cybersecurity udbydere bør være omfattet af forordning over fejl, såsom afgivelse af urigtige erklæringer og anbefalinger, der er fremsat uden grundlag.”
CenturyLink ‘ s Asia-Pacific vice president, IT service og managed hosting, Francis Thangasamy, var enig: “Dette lovforslag ser ud til at være med den hensigt at køre klarere ansvarlighed på tværs af branchen, sammenhængen på tværs af den offentlige og private sektor, og proaktiv cybersecurity foranstaltninger.”
Spurgt om, hvor mange CII operatører, der understøttes her, Thangasamy også afvist at afsløre detaljer. Han sagde til OS sælgeren var stadig vurderer regningen at fastslå, om det er nødvendigt at erhverve en licens, og ville gøre det, hvis det er påkrævet.
Klarhed er behov for på, hvad slags tjenester, vil behovet for licens
Foo, også kaldet for flere oplysninger skal gives oplysninger om de forskellige tjenester, der ville blive betragtet som under regningen. At bemærke, at Singapore var et af de første lande i verden til at regulere cybersecurity udbydere, sagde han: “i Betragtning af den brede spektrum af cybersecurity tjenester til rådighed på markedet, fra penetration test, sikkerhed, overvågning, incident response, at forensics undersøgelse, der er brug for klarhed om, hvad der udgør de to former for tjenester, især de ikke-undersøgende internetsikkerhed.”
I henhold til lovforslaget, leverandører leverer både undersøgende og ikke-undersøgende cybersecurity arbejde ville kræve en licens. Disse omfattede organisationer samt medarbejdere, der er fastsat penetration testing service og managed security operations centre (SOCs).
Lovforslaget, der er skitseret undersøgende tjenester som dem, der er involveret “, der omgår de kontroller, der gennemføres i en anden persons computer eller edb-system” eller hvor personer, der udfører tjeneste havde “et dybt niveau af adgang til computer eller edb-system, hvor tjenesten bliver udført, eller til at teste cybersecurity forsvar af computer eller computer-system”.
Investigative service inkluderet foretage retsmedicinske undersøgelse af systemer, vurdere, teste og evaluere cybersecurity af systemer, og søger efter sårbarheder i systemer.
Personer, der tilbyder investigative service også vil have en licens. Undladelse af at indhente én, kan det resultere i en bøde på op til$50.000 eller fængsel i op til to år eller begge dele. Hertil kommer, licenstagere, som har undladt at overholde alle vilkår og betingelser, der er fastsat risikerer en bøde på op til$10.000 eller fængsel i op til et år, eller begge dele.
Pereira sagde flytte til licens disse udvalgte leverandører og personer, syntes at indikere et ønske om at forbedre købernes sikkerhed for, at deres udbydere, evner og egnethed til tilbuddet, hvad der nogle gange kunne anses for påtrængende internetsikkerhed. Den licens tilgang også vil øge kvaliteten bar for alle cybersecurity udbydere, tilføjede han.
Når kontaktet, Fortinet også var i stand til at afsløre, hvor mange CII kunder havde i Singapore. Dens country manager Thiantara Kruathorn, selvom bekræftet, at sælgers kunder her i prisen offentlige myndigheder, teleselskaber, finansielle virksomheder, udbydere af sundhedsydelser, medier, virksomheder og forsyningsselskaber udbydere.
Mens det ville kræve mere tid til at gå gennem det lovforslag, Fortinet, troede, at de nye love–hvis–bestået ville forbedre Singapore ‘ s cyberforsvar. Kruathorn bemærkes dog, at lovforslaget ville være lige det første skridt fremad og fuldbyrdelse ville være kritisk.
CSA ville have til at sætte de rette mekanismer til at sikre, at alle parter, der er involveret levet op til de regler, sagde han. “Som bill er begrænset til den kompetence, Singapore, regeringen er nødt til at fortsætte med at samarbejde med myndigheder uden for vores grænser at beskæftige sig med it-kriminelle, der er bosat i udlandet,” bemærkede han. “Disse vil omfatte organer som Interpol og computer emergency response teams (Cert) i lande over hele verden.
“Det er vigtigt, fordi mange it-kriminelle angribe Singapore interesser er ikke baseret i dette land,” sagde han. “Lovforslaget er et arbejde i gang. Det skal være raffineret som business miljø og cybersikkerhed ændre. Cybersecurity interessenter er nødt til at give Singapores regering, og en anden, ærlig feedback, som de arbejder med det i de kommende år.”
Fortrolighed skal give til de statslige anmodning
Én ting er klar, skønt. Med CSA beføjelse til at indhente oplysninger til konstatering af, om et system, der opfyldte kriterierne for en CII, organisationer påvirket af lovforslaget ville være nødt til at adlyde sådanne anmodninger, og inden for “et rimeligt tidsrum, der er angivet i meddelelsen”.
Udenlandske eller lokale leverandører berørt af det nye lovforslag vil ikke være i stand til at nævne kunden fortrolighed, når bedt om at udlevere oplysninger, før eller efter en sikkerhedshændelse, sagde Bryan Tan, partner i advokatfirmaet Pinsent Murere, der er specialiseret i teknologi-og telekommunikationssektoren.
“En juridisk magt til at kræve fremlæggelse af oplysninger trumps klient, fortrolighed,” Tan er angivet. “Det spørgsmål, som formentlig har brug for afklaring, selv om, er, om legal privilege vil stadig være beskyttet.”
Legal privilege beskytter kommunikation mellem advokater og deres klienter fra videregives uden forudgående tilladelse fra klienten.
I henhold til lovforslaget, CII ejere var forpligtet til at underrette CSA af “en betydelig cybersecurity hændelse” og “enhver anden form for cybersikkerhed hændelse” i forhold til deres infrastruktur og systemer, der er tilsluttet til CII.
De skal også have de mekanismer og processer til at opdage cybersecurity trusler. CII ejere, der har undladt at advare CSA af trussel hændelser, der ville stå over for en bøde på op til$100.000 eller fængsel i op til to år, eller begge dele.
Tan rådgivet virksomheder, der leverer internetsikkerhed for at få en licens, og understregede behovet for CII ejere til at være opmærksomme på deres forpligtelser, for at være i overensstemmelse. Disse omfattede have deres Informationsinfrastruktur revideres mindst hvert tredje år, samt at gennemføre en cybersecurity risikovurdering af deres Informationsinfrastruktur mindst en gang hvert tredje år.
Disse krav blev anset for at være ikke-delegable, sagde han.
Hertil kommer, at alle cybersecurity-udbydere, der havde kunder i 11 væsentlige tjenester sektorer, der er skitseret i lovforslaget, vil kunne se på kontrakt genforhandlinger, bemærkede han.
Lovforslaget beskrevet formået SOC service til også at omfatte overvågning, bedømmelse og forsvar af en organisations systemer med henblik på at forebygge, opdage og reagere på cybersikkerhed trusler eller episoder. Disse vil omfatte forebyggelse af uautoriseret adgang til, ændring eller, eller reproduktion af data lagret i eller behandles af systemer.
Det kunne potentielt rækker ud over lokale teleselskaber til at omfatte cloud-leverandører at bundtet sådanne tjenester samt managed security service providers, som CenturyLink, Fujitsu, IBM, Microsoft, og Alibaba Cloud.
Tan kaldes for klare definitioner, så dem, der er nødvendige for at træffe foranstaltninger kunne gøre det. “De ting, om regningen er ikke så meget dens gennemførelse, men om de foranstaltninger, der er effektive til at øge sikkerheden på internettet forsvar,” sagde han.
Den advokat, der påpegede, at bill var en af de første lokale lovgivning til også at omfatte whistleblower-beskyttelse.
Spurgte, om regeringen udelukkelse fra landets love om databeskyttelse, men integration af den offentlige sektor som en af de 11 CII sektorer kan hæve eventuelle potentielle problemstillinger, Tan bemærkes, at lovforslaget anført, at regeringen ikke ville blive retsforfulgt.
Men det anført, at offentlige ansatte og leverandører blev underlagt erstatningsansvar, sagde han.
Specifikt, bill sagde: “Intet i denne lov gør regeringen ansvarlig for retsforfølgning for en uagtsom lovovertrædelse. For at undgå tvivl, ingen person er immun over for retsforfølgning for nogen lovovertrædelse, der i henhold til denne lov af den grund, at den person, der er ansat af eller er involveret i at stille tjenester til regeringen.”
Tan derefter tastede: “Så det interessante spørgsmål her er, ville en folkevalgt betragtes som en offentligt ansat?”
Fordi det er nødvendigt for at løse cyber-trusler, som var så påtrængende, KPMG ‘ s Pereira sagde bill–i sin indledende fase,–var bestemt til at fungere sammen med Singapore Personlige Data Protection Act (PDPA). Dette ville styre organisationer i både den private og den offentlige sektor til at fokusere og prioritere indsatsen for at beskytte deres kritiske informationsaktiver.
“Når cyber-parathed er begyndt at modne mod det fælles udgangspunkt, der er fastsat af cybersecurity bill, det er sandsynligt, at MCI [og] CSA vil søge at harmonisere overlap mellem de Cybersecurity Handle og PDPA,” sagde han.
Spurgte, om CenturyLink forventede problemer med klient, fortrolighed i forbindelse med muligheden for, at det måske er nødt til at udveksle oplysninger med CSA, Thangasamy sagde organisationer påvirket af de foreslåede regler, der allerede ville forstå sådanne krav. Han sagde sælgeren erkendes det, at “alvoren af fortrolighed”.
“Ideelt set bør der være en tilpasning til, hvad der forventes af en organisation eller slutbrugerens perspektiv og managed security service (MSS) udbyder,” sagde han. “I sidste ende, CSA’ en vil være at sikre ensartethed, uanset om kunden styrer deres sikkerhedssituation på deres egne, eller de beslutter sig for at arbejde med en MSS leverandør.”
0