0
Singapore proposto di sicurezza informatica disegno di legge ha richiesto la necessità di un chiarimento circa la concessione di licenze di fornitori di servizi, governo di responsabilità, di cliente e di riservatezza, ma il suo obiettivo è di spingere la sicurezza informatica come una priorità per tutte le aziende è certamente ormai compiuta.
Il governo di Singapore, che lunedì ha presentato i dettagli del progetto di legge, che delinea la nuova legislazione che richiederebbe gestori di locali, infrastrutture critiche informatizzate (ici), di prendere provvedimenti per proteggere i propri sistemi e rapidamente relazione a minacce e incidenti. Rilasciato dal Ministero delle Comunicazioni e dell’Informazione (MCI) e Cyber Security Agency (CSA), la nuova proposta di legge, inoltre, facilitare la condivisione delle informazioni tra i settori critici e richiedono fornitori di servizi selezionati così come gli individui, per essere concesso in licenza.
Il disegno di legge elencati 11 “servizi essenziali” settori considerati ad operare infrastrutture critiche informatizzate: acqua, sanità, marittimo, media, infocommunications, energia, banche e finanza, di sicurezza e di emergenza, servizi di trasporto terrestre, aerea e di governo.
Il modo in cui le organizzazioni devono prendere nota per garantire la conformità?
Per cominciare, le imprese CII settori della necessità di nominare un “CII proprietario”, che il disegno di legge aveva identificato per essere responsabile per la protezione delle infrastrutture critiche informatizzate nella loro organizzazione, ha detto Daryl Pereira, la sicurezza informatica testa KPMG in Singapore.
Il disegno di legge definito CII proprietari come quelli che aveva il controllo sulle operazioni di CII infrastrutture e la capacità di apportare modifiche a tali infrastrutture e che hanno la responsabilità di garantire il “funzionamento continuo” di CII Infrastrutture.
Nel settore del governo, CII proprietari di riferimento per il ministero del segretario permanente, che era responsabile per il bilancio approvazioni relative al CII, o l’amministratore delegato o l’equivalente di un organo statutario.
Pereira ha detto CII i proprietari devono assicurare la loro organizzazione, adempiuto ai propri doveri istituzionali, che comprendeva la segnalazione di incidenti di sicurezza informatica a CS, partecipando alla sicurezza cibernetica nazionale esercizi, e svolgimento di regolare attività di audit sulle infrastrutture critiche informatizzate.
In particolare, egli ha osservato, si deve essere consapevoli del mandato di mettere rapidamente in relazione cybersecurity minacce e incidenti nonché di adottare le opportune azioni per ridurre i danni ulteriori per l’organizzazione e la più ampia del settore, se la minaccia hanno un ampio impatto.
“La proposta di legge che fornisce un impulso per l’industria di assumere la proprietà di proteggere il loro CII, ponendo l’accento sulla nomina del CII proprietari, a livello individuale, piuttosto che a livello di società,” ha spiegato. “In molti casi, il più alto ranking persona nell’organizzazione può probabilmente essere nominato CII proprietario.”
Questo avrebbe “effetti di vasta portata” su come i ruoli e le responsabilità all’interno di tali organizzazioni sono state progettate, ha detto. “In auto più visibilità di sicurezza informatica nell’ambito del consiglio e c-suite livelli e, in ultima analisi, aumentare l’investimento sulla sicurezza informatica disponibilità in tutti i settori in Singapore”, ha dichiarato Pereira.
Citando KPMG indagini, ha detto che i paesi che in Europa e stati UNITI raggiunta maggiore sicurezza informatica prontezza quando c’era la consapevolezza che il rischio informatico è stato un problema di business e quando IT e di business teste assunto la proprietà congiunta di queste iniziative.
Chiesto il suo pensiero sulla proposta di legge, Quann amministratore delegato di Pippo Siang-tse ha detto che istituisce una normativa nazionale e regime di autorizzazione di un diritto passo in avanti, soprattutto in un panorama di minacce sempre più complesse.
Il locale fornitore di sicurezza è stato in grado di rilevare il numero di CII proprietari è supportato, ma ha confermato che i servizi offerti da varie aziende, tra cui i regolatori e i proprietari CII settori.
Singapore svela drastica mossa che mette il governo in era pre-internet
Governo di Singapore è bloccare l’accesso a internet su tutti i posti di lavoro utilizzati dai dipendenti del settore pubblico da Maggio 2017, in una mossa che solleva questioni critiche in merito alla sua smart nazione e servizi di e-government.
Pippo ha detto che il disegno di legge “giustamente”, posto che la responsabilità CII proprietari di salvaguardare la propria sicurezza informatica, la ricarica con il dovere di svolgere iniziative chiave quali verifiche e valutazioni del rischio.
Per assicurare che le imprese avevano robuste politiche di sicurezza informatica, di infrastrutture e di capacità, ha aggiunto, notando che anche esaminati, quelli che avevano “inclinata preferenza di mercato” per dispositivi di sicurezza, mentre trascura le verifiche e i processi.
Egli ha osservato che gli standard professionali di sicurezza informatica fornitori di servizi e di personale, sarebbe serrato attraverso la certificazione e il codice etico, lo screening di sfondo, e la certificazione delle competenze. Questi, inoltre, di garantire che le imprese sono ben informato e adeguatamente protetto, ha detto.
Pippo ha detto: “Per affrontare l’asimmetria informativa nel mercato, soprattutto per gli acquirenti, fornitori di servizi di sicurezza informatica deve essere soggetto a regolamentazione più cattiva condotta, come la fornitura di false dichiarazioni e raccomandazioni senza fondamento”.
CenturyLink Asia-Pacifico, vice presidente dei servizi e hosting gestito, Francesco Thangasamy, concorda: “Questo disegno di legge sembra essere con l’intento di guida più chiara la responsabilità di tutto il settore, la coerenza tra i settori pubblico e privato, e proattiva di sicurezza informatica necessarie”.
Chiesto quanti CII gli operatori supportati qui, Thangasamy anche rifiutato di rivelare i dettagli. Ha detto che l’azienda americana è stata ancora valutando il disegno di legge per determinare se è necessario acquistare una licenza, e quindi, se necessario.
La chiarezza necessarie su che tipo di servizi hanno bisogno di licenza
Pippo, troppo, chiamato per maggiori dettagli saranno forniti i tipi di servizi che potrebbe essere considerato sotto il disegno di legge. Notare che Singapore è stata uno dei primi paesi al mondo per regolamentare la sicurezza informatica service provider, ha detto: “Dato l’ampio spettro di servizi di sicurezza informatica disponibile sul mercato, dal test di penetrazione, di sicurezza, di monitoraggio, di risposta agli incidenti, analisi forense, occorre chiarezza su ciò che costituisce i due tipi di servizi, in particolare non-investigativi servizi di sicurezza informatica.”
Sotto la proposta di legge, i produttori di fornire sia servizi investigativi e non investigativi di sicurezza informatica lavoro avrebbe bisogno di una licenza. Questi incluse le organizzazioni nonché i dipendenti che hanno fornito prova di penetrazione di servizi gestiti e di centri operativi per la sicurezza (Soc).
Il disegno di legge delineato servizi investigativi come coloro che sono coinvolti “eludere i controlli implementati nel computer di un altro utente o di sistema del computer” dove le persone che effettuano il servizio era “un profondo livello di accesso per il computer o un computer, nel senso che il servizio viene eseguito, o per testare la sicurezza informatica difese del computer o il computer di sistema”.
Servizi investigativi di condotta incluse esame forense di sistemi di valutazione, di prova o di valutazione della sicurezza informatica di sistemi e di ricerca per la vulnerabilità dei sistemi.
Gli esperti che offrono servizi investigativi anche bisogno di una licenza. Il mancato ottenimento di uno potrebbe tradursi in una multa fino a$50.000 o il carcere fino a due anni, o entrambi. Inoltre, i concessionari che non è riuscito a rispettare i termini e le condizioni stabilite potrebbe affrontare una multa fino a$10.000 o reclusione fino a un anno, o entrambi.
Pereira ha detto che la mossa di licenza di tali fornitori selezionati e di individui che sembravano indicare un desiderio di migliorare acquirenti di assicurazione sulla loro fornitori di servizi di funzionalità e per la capacità di offerta, che potrebbe a volte essere considerato invadente servizi di sicurezza informatica. L’approccio di licenza può aumentare la barra di qualità per tutti i fornitori di servizi di sicurezza informatica, ha aggiunto.
Quando contattato, Fortinet, inoltre, era in grado di rivelare quante CII clienti ha avuto a Singapore. Il suo country manager Thiantara Kruathorn, però, ha confermato il venditore clientela qui incluse le agenzie governative, società di telecomunicazioni, servizi finanziari, istituzioni, operatori sanitari, società di comunicazione e servizi di utilità fornitori.
Mentre sarebbe bisogno di più tempo per passare attraverso il progetto di legge, Fortinet ritiene che le nuove leggi–se passato–consentirebbe di migliorare Singapore difese informatiche. Kruathorn notato, tuttavia, che il disegno di legge sarebbe solo il primo passo avanti, e l’esecuzione sarebbe fondamentale.
CSA avrebbe dovuto mettere in atto i giusti meccanismi per garantire che tutte le parti coinvolte rispettate le regole, ha detto. “Il disegno di legge è limitata alla giurisdizione di Singapore, il governo deve continuare a collaborare con le autorità di là delle nostre frontiere per combattere i criminali informatici che risiedono all’estero,” ha notato. “Questi includono, come le agenzie di Interpol e i computer emergency response team (Cert) in paesi di tutto il mondo.
“Questo è importante perché molti criminali informatici di attaccare Singapore di interessi che non sono basati in questo paese”, ha detto. “Il disegno di legge è un work in progress. Deve essere raffinato come il contesto di business e requisiti di sicurezza informatica cambiare. Cybersecurity le parti interessate devono dare il governo di Singapore, e l’un l’altro, feedback candida come opera nei prossimi anni.”
Cliente riservatezza deve cedere a una richiesta del governo
Una cosa è chiara, però. Con il CSA il potere di ottenere informazioni per verificare se il sistema soddisfa i criteri di un CII, organizzazioni risentito il disegno di legge avrebbe dovuto obbedire a tali richieste, e all’interno di “un ragionevole periodo di tempo specificato nella comunicazione”.
Stranieri o fornitori locali interessati dal nuovo disegno di legge non sarebbe in grado di citare cliente riservatezza quando chiesto di consegnare le informazioni prima o dopo un incidente di sicurezza, ha detto Bryan Tan, partner presso studio legale Pinsent Masons, specializzati in tecnologia e delle telecomunicazioni.
“Il diritto di richiedere la produzione di informazioni trionfi la riservatezza del cliente,” Tan notato. “La domanda che probabilmente ha bisogno di un chiarimento, se legale privilegio saranno protetti.”
Legale privilegio protegge le comunicazioni tra avvocati e clienti, vengano divulgate senza il consenso del cliente.
Sotto la proposta di legge, CII proprietari erano tenuti a notificare CSA di “un significativo cybersecurity incidente” e “qualsiasi altro tipo di cybersecurity incidente” nel rispetto della loro infrastruttura e dei sistemi collegati CII.
Devono, inoltre, sono i meccanismi e i processi per rilevare le minacce sicurezza informatica. CII proprietari che non è riuscita ad avviso del CSA di minaccia incidenti si troverebbe ad affrontare una multa fino a$100.000 o reclusione fino a due anni, o entrambi.
Tan consigliato aziende che forniscono servizi di sicurezza informatica per ottenere una licenza e ha sottolineato la necessità di CII proprietari di essere consapevoli dei loro obblighi in ordine al soggiorno in conformità. Questi hanno incluso avere le loro infrastrutture critiche informatizzate controllati almeno una volta ogni tre anni, oltre a condurre una cybersecurity valutazione del rischio delle loro infrastrutture critiche informatizzate, almeno una volta ogni tre anni.
Questi requisiti sono stati ritenuti non può essere delegata ad altri, ha detto.
Inoltre, qualsiasi cybersecurity fornitori di servizi che aveva clienti in 11 servizi essenziali settori delineati nel disegno di legge potrebbe essere alla ricerca a contratto ri-negoziati, ha osservato.
Il disegno di legge descritti gestito SOC di servizi per includere il monitoraggio, la valutazione e la difesa di un’organizzazione, sistemi per la fine di prevenire, individuare e rispondere alle minacce di sicurezza informatica o incidenti. Questi includono prevenire accessi non autorizzati, modifiche o o copia dei dati memorizzati o elaborati dai sistemi.
Potenzialmente potrebbe estendersi al di là locale di telecomunicazioni per includere i fornitori di soluzioni cloud che in bundle tali servizi di managed security service provider, come ad esempio CenturyLink, Fujitsu, IBM, Microsoft, e Alibaba Cloud.
Tan chiamato per definizioni chiare in modo che coloro che dovevano intervenire, poteva farlo. “La cosa circa il disegno di legge non è tanto la sua attuazione, ma se le sue misure sono efficaci per aumentare la sicurezza cibernetica difese”, ha detto.
L’avvocato ha sottolineato che il disegno di legge è stato uno dei primi locali legislazione per includere whistleblower protection.
Ha chiesto se il governo esclusione dal paese leggi sulla protezione dei dati, ma l’inclusione del settore pubblico come una delle 11 CII settori, potrebbe aumentare i potenziali problemi, Tan ha osservato che la proposta di legge che ha dichiarato che il governo non sarebbe perseguibile.
Tuttavia, ha indicato che i dipendenti pubblici e i fornitori sono stati oggetto di responsabilità, ha detto.
In particolare, il disegno di legge ha affermato: “Nulla nella presente atto rende il governo responsabile di procedimento penale per un reato. A scanso di equivoci, nessuno è immune da procedimenti penali per qualsiasi reato ai sensi della presente legge da ragione che la persona è un dipendente o come si è impegnata a fornire servizi per l’amministrazione.”
Tan sondato: “Così, la domanda interessante è qui, sarebbe un funzionario eletto essere considerato un dipendente pubblico?”
Perché la necessità di affrontare le minacce informatiche di così urgente, KPMG Pereira ha detto che il disegno di legge-nella sua fase iniziale-è stata pensata per funzionare al fianco di Singapore di Protezione di Dati Personali (PIÙ). Questo permetterebbe di guidare le organizzazioni in entrambi i settori pubblico e privato di messa a fuoco e definire le priorità di sforzi nel proteggere le informazioni critiche di attività.
“Una volta che il cyber readiness ha iniziato a maturare contro il comune di baseline indicati dalla sicurezza informatica bill, è probabile che la MCI [e] CSA cercherà di armonizzare le sovrapposizioni tra le Cybersecurity Act e la PIÙ”, ha detto.
Chiesto se CenturyLink anticipata di problemi con la riservatezza del cliente nella possibilità che si possa condividere informazioni con CSA, Thangasamy suddette organizzazioni influenzata da norme proposte già la comprensione di tali requisiti. Ha detto che il venditore ha riconosciuto “la gravità del cliente riservatezza”.
“Idealmente, ci dovrebbe essere un allineamento su ciò che ci si aspetta da un’organizzazione o la prospettiva dell’utente finale e i servizi di sicurezza gestiti (MSS) provider”, ha detto. “In definitiva, CSA si occuperà di assicurare la coerenza indipendentemente dal fatto che il cliente gestisce il proprio approccio alla sicurezza in proprio o si decide di lavorare con un MSS provider”.
0