Singapur’daki milletvekilleri, 7 Mayıs’ta ülkenin siber güvenlik düzenlemelerini güncelleyerek kuralları uygulamaktan sorumlu kuruma daha fazla yetki verdi, bulut altyapısını içeren bilgisayar sistemleri tanımlarını benimsedi ve kritik bilgi altyapısı (CII) operatörlerinin herhangi bir siber güvenlik olayını yetkililere bildirmelerini zorunlu kıldı. devlet.
Siber Güvenlik Yasası değişikliği, kritik altyapı yönetim sistemlerini çalıştırmanın bulut altyapısı üzerindeki etkisini ve kritik altyapı operatörleri tarafından üçüncü taraf sağlayıcıların kullanımının yanı sıra giderek daha tehlikeli hale gelen siber tehdit ortamını da dikkate alıyor. Singapur İletişim ve Enformasyon Bakanlığı kıdemli devlet bakanı Janil Puthucheary, pek çok kritik bilgi altyapısı operatörünün operasyonlarının bazı yönlerini üçüncü taraflara ve bulut sağlayıcılara devrettiğinden, bu hizmet sağlayıcılarını sorumlu tutmak için yeni kurallara ihtiyaç duyulduğunu söyledi. , bir konuşmasında söyledi ülkenin parlamentosunun önünde.
“2018 Yasası, fiziksel sistemler olan CII’yi düzenlemek için geliştirildi, ancak o zamandan bu yana yeni teknoloji ve iş modelleri ortaya çıktı” dedi. “Dolayısıyla, CII’leri daha iyi düzenlememize izin verecek şekilde Yasayı güncellememiz gerekiyor, böylece hangi teknoloji veya iş modeli üzerinde çalışırlarsa çalışsınlar siber tehditlere karşı güvenli ve dirençli olmaya devam etsinler.”
Singapur’un Siber Güvenlik Yasasında yaptığı değişiklik, Asya-Pasifik ülkeleri arasındaki kurallarda yapılan en son güncellemedir. Nisan başında, Malezya Parlamentosu kendi Siber Güvenlik Yasa Tasarısını kabul ettiBazı firmalar ve danışmanlar için lisans zorunluluğu da dahil olmak üzere, ülke için güçlü bir siber güvenlik çerçevesi oluşturmayı hedefliyor. Aynı ay Japonya, Filipinler ve ABD üçlü bir bilgi paylaşımı düzenlemesi uygulamaya koymak Çin, Kuzey Kore ve diğer rakip ulusların ulus devlet saldırılarını köreltmek.
Siber Güvenlik Ajansı (CSA) Hizmet reddi savunma firması Nexusguard’ın ürün direktörü Donny Chong, kritik altyapı sağlayıcılarına, vatandaşlara, işletmelere ve hukuk uzmanlarına yönelik kapsamlı destek sonrasında ek düzenlemelerin Singapur’da geniş bir desteğe sahip olduğunu söylüyor.
“Siber tehditlerin sayısının artması birçok insanı endişelendiriyor; hem yerel hem de küresel olaylar dijital altyapımızdaki güvenlik açıklarını ortaya çıkardı” diyor. “Şirketlerin, siber saldırıların temel hizmetleri ve ulusal güvenliği ciddi şekilde etkileyebileceğinin giderek daha fazla farkına vardığını görüyoruz ve bu da daha güçlü düzenlemelere yönelik aciliyeti artırıyor.”
Değişen Zamanlar için Siber Güvenlik
Orijinal Siber Güvenlik Yasası, CII etrafındaki korumaları güçlendirmeyi amaçladı, Singapurlu CSA’ya ülkenin siber güvenlik önleme ve müdahale programlarını yönetme yetkisi verdi ve siber güvenlik hizmet sağlayıcılarını düzenlemek için bir lisans çerçevesi oluşturdu.
Ancak yetkililer, ulusal altyapıyı korumak için daha güçlü güçlere ihtiyaç duyulduğunu ve zaman geçtikçe bulut bilişim ve bulut hizmetlerinin düzenleyici ortamı değiştirdiğini kısa sürede fark etti. Örneğin CSA, tamamı yurt dışında bulunan herhangi bir kritik altyapı sağlayıcısını veya CII hizmet sağlayıcısını düzenleyemez.
Puthucheary, “Yasa ilk yazıldığında, CI’nın tesiste tutulan ve tamamen CI sahibine ait veya kontrol edilen fiziksel sistemler olması normdu” dedi. “Fakat bulut hizmetlerinin ortaya çıkışı bu modele meydan okudu.”
Lim Chong’a göre değişiklik, işletmeleri ve altyapı operatörlerini beş kategoriye ayırıyor: sağlayıcıya ait CII, sağlayıcıya ait olmayan CII, temel dijital altyapı (FDI) hizmetleri, özel siber güvenlik ilgisine sahip kuruluşlar ve geçici siber güvenlik endişesi taşıyan sistemlerin sahipleri. Kin, Singapur merkezli hukuk firması Drew & Napier’in genel müdürü ve veri koruma, gizlilik ve siber güvenlik grubunun eş başkanı.
bu tür organizasyonlara yönelik gereklilikler arasında denetimler de yer alırLim, risk değerlendirmeleri, siber güvenlik olaylarının raporlanması ve üçüncü taraflar için gerekli sözleşme dilinin gerekli olduğunu söylüyor. Tek tek firmalar büyük çokuluslu bulut sağlayıcılarıyla gereksinimleri belirlemede sorun yaşayabileceğinden, CSA’nın “yeni olay raporlama gerekliliklerini operasyonel hale getirmek için” çalışacağını söylüyor.
Lim, “Genişletilmiş düzenleme yükümlülüklerinin işletmelere belirli bir dereceye kadar kaçınılmaz olarak artan uyum maliyetleri getirmesi muhtemeldir” diyor. “Etkilenen kuruluşlar üzerindeki etkinin kesin boyutu, yeni raporlama gerekliliklerinin uygulamaya konulmasıyla zaman içinde netleşecektir.”
Jeopolitik ve Yapay Zeka Temel Zorlukları Ortaya Çıkarıyor
Singapur büyük ölçüde küresel ticarete dayandığı ve açık bir dijital ekonomiyi sürdürdüğü için ülke, hem ulus devlet hem de siber suç gruplarının Singapurlu kuruluşları ve bireyleri hedef almasıyla tehdit aktörleri arasında popüler bir hedef olmaya devam ediyor. Ülkenin bu yılın başlarında yayınlanan “Siber Güvenlik Sağlık Raporu”, ankete katılanların %80’inden fazlasının Singapurlu kuruluşlar siber olaya maruz kaldı Geçtiğimiz yıl bu mağdurların neredeyse tamamı (%99) iş hayatından etkilendi.
Lim, hem yapay zeka hem de kuantum hesaplamanın tehdit ortamını değiştiriyor gibi görünen yıkıcı teknolojiler olması nedeniyle geleceğin de belirsizlik taşıyacağını söylüyor. Bu nedenlerden dolayı, güncellenen düzenlemelerin daha iyi siber güvenliğe giden yolun yalnızca başlangıcı olduğunu söylüyor.
“Düzenlemeler önemini korusa da, Singapur’un siber uzayını etkili bir şekilde güvence altına almak için siber okur-yazar bir nüfus yetiştirmek ve toplumdaki tüm paydaş gruplarının katılımını sağlamak daha geniş bir düzeyde de gerekli olacaktır” diyor.
Ülke halihazırda dünyadaki en siber okuryazar ülkelerden biri. Singapur’daki Puthucheary’ye göre Singapur’da yaşayanların %90’ından fazlası çevrimiçi iletişim kuruyor; teknolojiyi benimseme oranı 2018’deki %74’ten 2022’de %94’e yükseldi.
Parlamentoya hitaben yaptığı konuşmada “İş modelleri değişiyor olabilir ama temel prensip aynı kalıyor.” dedi. “Temel hizmetlerin sağlayıcıları, sağladıkları temel hizmetleri sağlamak için güvenilen bilgisayar sistemlerinin siber güvenliğinden ve siber dayanıklılığından sorumlu olmaya devam etmelidir.”
