Bir yıl içinde Malezya’nın siber yasası biraz zorlanıyor

2024’ün Niyeti, Malezya Ulusal Siber Güvenlik Ajansı, Sektör Uygulama Kodları ve Tedarikçiler için daha güçlü hesap verebilirlik kurallarına rapor veren altı saatlik olaylar da dahil olmak üzere, yükselen siber tehditlere karşı ulusal kritik bilgi altyapısını güçlendirmekti. Yasa, görünürlükteki boşlukları kapatmayı, sektörler arasındaki korumaları standartlaştırmayı ve operatörlerin ve sağlayıcıların esneklik sorumluluğunu paylaşmasını sağlamayı amaçladı.

Telekom şirketi Celcomdigi’nin siber güvenlik stratejisti Kalairasu Santhisekaran, bakış açısının, teknolojide risk yönetimi ve Swift Müşteri Güvenlik Kontrolleri çerçevesi gibi çerçeveler altında bir dijital bankanın güvenlik programı oluşturarak şekillendirildiğini söyledi.

Bilgi Güvenlik Medya Grubu’na, “Bu deneyim nedeniyle, sıkı düzenlemelere sahip olan bankacılık, telekom ve sağlık hizmeti gibi sektörlerin, zaten katı çerçeveler altında çalıştıkları için bu eylem için daha iyi konumlandırıldığını görüyorum.” Daha zorlu zorluk, bütçelerin ve personelin sınırlı olduğu bu sektörlerin dışındaki ulusal kritik bilgi altyapı operatörlerinde yattığını söyledi.

Santhisekaran, operatörlerin daha gelişmiş kontrollere doğru ilerlemeden önce temel bilgiler – olay tespit, erişim yönetimi ve izleme – ile başlamasını önerdi. Yetkili, ortak güvenlik operasyon merkezi hizmetlerine, devlet destekli girişimlere ve endüstri liderliğindeki yetenek paylaşımına, ülkenin genel temelini yükseltirken maliyetleri düşük tutmanın yolları olarak gösterdi.

Diğer sektörler için konuşma, daha az çerçevelere, insanlara daha fazla odaklanmıştır.

Madan Kumar Panwar, Techaira Sdn Bhd, Ciso, personelin en önemli boşluk olduğunu söyledi. Operasyonel teknoloji ve endüstriyel kontrol sistemi uzmanlığına sahip profesyonellerin ve IEC 62443 gibi endüstriyel kontrol ve otomasyon sistemlerini güvence altına almak için uluslararası standartlar bilgisi zor olmuştur.

ISMG’ye verdiği demeçte, “Birçok kuruluş, mevcut mühendislik ekiplerini hem BT hem de OT güvenlik kontrolleriyle uyumlu hale getirmek için inisiyatif alıyor, bu da kolay veya hızlı bir şekilde ele alınmayan bir şey.”

Danışmanlık firması Averis’in siber güvenlik başkanı Shankar Karthikason, eksikliğin olay tepkisinde en açık şekilde ortaya çıktığını söyledi. En zor asansörü, yasal raporlama için yeterince hızlı kanıt toplayabilen bir araştırma işlevi oluşturma olarak nitelendirdi.

“Konuştuğumlar olay müdahale personeli vardı, ancak bulut/OT genelinde adli tıpta akıcı, kütükleri çekebilecek, velayet zincirini koruyabiliyor ve kök nedenini kısa sürede ifade edebiliyordu.” Dedi. Yetenekli araştırmacılar ve prova oyun kitapları olmadan, altı saatlik raporlama son tarihinin dik bir zorluk olduğunu da sözlerine ekledi.

Bu altı saatlik pencere, eylemin en tartışılan gereksinimlerinden biri haline geldi. Olgun süreçlere sahip büyük kuruluşlar için Santhisekaran, hedefin zorlu ancak mümkün olduğunu söyledi. Birlikte çalıştığı bankalar, otomatik algılama ve rafine yükseltme prosedürleri sayesinde bir saat içinde öncelik 1 olayları düzenleyicilerine bildirebilirler. Daha küçük sağlayıcılar, aksine, genellikle bir uyarının gerçek bir olayı temsil edip etmediğini doğrulayarak saatler harcar ve NACSA ​​ile rapor vermek için çok az zaman bırakır.

Kartikason son tarihi “pratik, ama sadece prova ile” olarak nitelendirdi. Kuruluşların, bir olayın resmi olarak “farkında olduklarında”, tedarikçiler arasında kanıtları koordine ettiklerinde, yasal ve iletişim ekiplerinden onay almaları ve Siber Güvenlik Yasası’nın Malezya’nın Kişisel Veri Koruma Yasası’nın 72 saatlik ihlal raporlama gereksinimine karşı altı saatlik yolunu dengelediklerinde kurmaları gerektiğini söyledi. Bazı kuruluşların, yalnızca yetkili imzalayıcıları önceden onaylayan, şablonları standartlaştırdıktan ve satıcılarla ortak matkaplar çalıştırdıktan sonra uyum sağladığını söyledi.

Altı saatlik raporlama penceresi, izlemenin eski sistemler arasında parçalandığı operasyonel teknoloji ortamlarında özel zorluklar doğurur. Gereksinimi karşılamak için, birçok kuruluş daha entegre SOCS ve görünürlük araçlarına yatırım yapmaya başlamıştır, ancak olgunluk seviyeleri büyük ölçüde değişmektedir. NACSA ​​ile erken koordinasyon, raporlama formatları ve eşikler üzerindeki belirsizlik nedeniyle engellendi, ancak endüstri uygulayıcıları angajmanların o zamandan beri daha yapılandırılmış hale geldiğini söylüyor. Sektör, ilgili uygulama kodlarını yayınladıktan sonra ek netlik beklenir.

Zaman çizelgelerinin ötesinde, endüstri liderleri bazı standartların yorumlanmasının zor olduğunu söylüyor. Santhisekaran, bankacılık, telekom ve sağlık hizmetlerinde mevcut standartların Yasa ile kolayca eşlendiğini söyledi. Ancak daha küçük NCII’ler için, ayrıntılı uygulama rehberliğinin olmaması, neyin “yeterli” uyumluluk olarak sayıldığı konusunda belirsizlik yaratır.

Karthikason, danışmanlık katılımlarındaki en büyük yapışma noktalarının Brownfield OT ortamlarında olduğunu söyledi. Varlık envanteri ve segmentasyonu özellikle zordur ve denetimler sırasında kontrol etkinliğini kanıtlamaktadır. Erken benimseyenlerden gelen geri bildirimler, altı saatlik olay raporlarına ne kadar ayrıntı yapılması gerektiği, şiddet eşiklerinin nasıl tanımlanması gerektiği ve PDPA ve CSA kapsamındaki örtüşen yükümlülüklerin nasıl hizalanacağı hakkında sorular ortaya koydu.

Panwar, özellikle IEC 62443-3-3 dahil OT güvenlik gereksinimleri altındaki segmentasyon ve erişim kontrollerinin, özellikle eski protokollerin baskın olduğu yerlerde NCIIS için en zor olanı olduğunu kabul etti. Yetkili, tedarik zincirleri arasındaki uyum yükümlülüklerinin kapsamının hala belirsiz olduğunu ve sektör düzenleyicilerinden ve NACSA’dan örtüşen rehberliğin tutarsızlıklar yarattığını da sözlerine ekledi. “Daha birleşik bir ajans direktifinin uygulama tutarlılığını artıracağına inanıyorum.” Dedi.

Kanun ayrıca kuruluşların satıcılara nasıl yaklaştıklarını yeniden şekillendirdi. Santhisekaran, hesap verebilirliği güçlendirdiğini söyledi: NCII’ler nihayetinde kritik altyapıyı etkileyen olayları rapor etmekten sorumludur, yani satıcıların Malezya raporlama kurallarına uymaları, risk değerlendirmeleri yapması ve bazı durumlarda NACSA ​​lisansları almaları gerekir. Bazı sağlayıcılar hala ayarlanırken, daha net rollerin ortaklıkları güçlendirdiğini söyledi.

Karthikason, lisans ve sözleşme maddelerinin önemli ölçüde değiştiğini söyledi. Yönetilen güvenlik sağlayıcıları artık NACSA ​​lisansları ve hizmet düzeyinde anlaşmalar için yükümlülükleri, olay verileri ve günlük tutma yükümlülükleri Malezya dostu terimlerle ifade edilmelidir. Bazı denizaşırı sağlayıcıların süreçlerini veya ortağını yerel olarak bu gereksinimleri karşılamak için uyarlamak zorunda olduklarını söyledi.

Panwar, tedarik stratejilerinin de değiştiğini söyledi. Yerel veri ikametgahı artık yaygın olarak uygulanmaktadır, olay tepkisi SLA’ları daha katıdır ve satıcılardan denetim sırasında Malezya kurallarına uygunluğu kanıtlamaları istenmektedir. Kuruluşlar, OT verileri için bulut hizmetlerini benimseme konusunda daha temkinlidir ve sağlayıcıların konuşlandırılmadan önce yerel görevlerle uyum göstermelerini gerektirir.

Bir yıl sonra, CISOS ve Stratejistler Yasanın Malezya’nın siber güvenlik temelini yükselttiğini kabul ediyorlar. Ancak, büyük düzenlenmiş oyuncular ve daha küçük NCII’ler arasındaki boşlukları kapatmak için sürekli kapasite geliştirme, daha net teknik kılavuzlar ve koordineli yol haritalarının gerekli olacağını vurguladılar. Panwar, önümüzdeki iki yılın eylemin tutarlı, sektör çapında esnekliğe dönüştürülmesi için kritik olduğunu söyleyerek özetledi.