Kritik Altyapı Güvenliği, Geo Focus: Asya, Geo’ya özgü
Yeni Komiser, ihlaller için 5 milyon HK $ ‘a kadar iyi operatörler olabilir
Jayant Chakravarti (@Jayjay_tech) •
25 Mart 2025
Hong Kong milletvekilleri, eleştirel altyapıyı güvence altına almak ve yetkililerin belirli sektörlerdeki siber güvenlik tehditlerini araştırmaları ve bunlara yanıt vermeleri için bir yasal mekanizma oluşturmak için bir siber güvenlik yasasını kabul ettiler. Yeni bir kritik altyapı komiseri, ihlaller için 5 milyon HK $ ‘a kadar ince operatörlere sahip olacak.
Ayrıca bakınız: Uzman Panel | Veri Sınıflandırması: Siber Güvenlik Uyumunun Temel
Hong Kong Yasama Konseyi, Çarşamba günü bir konsey oturumu sırasında kritik altyapıların korunmasını (bilgisayar sistemleri) faturasını geçti ve kritik altyapı operatörlerinin bilgisayar sistemlerini ve cihazlarını siber saldırılardan korumak için uygun adımları atmasını gerektirdi.
Kritik altyapı sağlayıcılarının bilgisayar sistemi güvenlik yönetimi planları geliştirmeleri, risk değerlendirmeleri ve denetimleri yapmaları, penetrasyon testleri yapmaları ve yetkilileri siber olaylar hakkında bilgilendirmeleri istenecektir.
2026’da yürürlüğe girecek yasa, enerji, bilgi teknolojisi, bankacılık ve finansal hizmetler, hava taşımacılığı, kara taşımacılığı, deniz taşımacılığı, sağlık hizmetleri ve telekomünikasyon ve yayın hizmetleri gibi sekiz sektör için geçerli olacaktır.
Passage, Kasım ayında Yasama Konseyi’nde kritik bir altyapı siber güvenlik faturasını tanıtmak için Hong Kong’un genel müdürü John Lee Ka-chiu emrini takip ediyor. Amaç, Hong Kong’un siber güvenlik yasasını mevcut tehdit manzarasıyla ilgili ve diğer ülkelerdeki düzenlemelerle uyumlu hale getirmektir.
Ka-chiu, “Günümüzde, CIS’in çalışması internete, bilgisayar sistemlerine, telekomünikasyon altyapılarına ve akıllı cihazlara vb. Daha fazla bağımlı hale geldi. Bilgisayar sistemleri de ciddi sonuçlarla saldırılara karşı giderek daha savunmasız.” Dedi. Diyerek şöyle devam etti: “Bilgisayar sistemlerine yönelik saldırıların bir sonucu olarak CIS operasyonunun bozulması durumunda, ekonomi, insanların geçim kaynağı ve kamu güvenliği de dahil olmak üzere kamu yararını ciddi şekilde tehlikeye atarak tüm toplumu etkileyen dalgalanma etkileri bile olabilir.”
Yasa, CEO’su, belirli sektörleri veya kuruluşları kritik altyapı olarak belirleme yetkisi ile kritik bir altyapı komiseri atamasını, CI operatörleri için uygulama kodları, kanunla uyumu izlemek, siber güvenlik olaylarını incelemek ve bunlara yanıt vermek, kanunları çıtlatılmış zaman çizelgesi içinde uygulamak için kanun kuvvetleri ile koordine etmek için güç vermektedir.
CIO’lar 650.000 dolara kadar para cezası
Komiser ayrıca, bir mahkumiyet ve 100.000 dolar sonra kritik altyapı sağlayıcılarına maksimum 5 milyon HK $ – veya yaklaşık 650.000 $ – veya ihlalin düzeltilmediği her gün 12.865 dolar para cezası verme yetkisine sahip olacak. Özet mahkumiyet durumunda, Komiser 3 milyon HK $ veya 385.965 $ ‘a kadar para cezası verebilir.
İcra Kurulu Başkanı Kasım ayında, kritik altyapı sağlayıcılarını ihlaller için ciddi şekilde cezalandırmak için yetkililer tarafından cezaların dikkatle verilmesi gerektiğini, ancak her cezanın kuruluşları kötü uygulamalardan caydırmak için yeterli olmasını sağlamak için dikkatle verilmesi gerektiğini söyledi. Kritik altyapı sağlayıcıları da diğer iç yasalardan cezalarla karşılaşabilir.
Ka-Chiu, “Herhangi bir uyumsuzluk, yanlış beyanname yapmak, sahte araçlar veya sahtekarlıkla ilgili diğer suçlar kullanmak gibi mevcut ceza yasalarının ihlal edilmesini içeriyorsa, ilgili kişiler cezai olarak sorumlu tutulabilir ve bu tür suçlar diğer sorumlu kolluk kuvvetleri tarafından soruşturulacaktır.” Dedi.
Yasa, halka temel hizmetler sunan büyük sektörleri kapsamakla birlikte, hükümet kuruluşları muaftır. İcra Kurulu Başkanı, yasaların yürürlüğe girmesinden sonra hükümet kuruluşlarının hükümet bilgi teknolojisi güvenlik politikası ve yönergeleri ve diğer güvenlik düzenlemeleri tarafından yönetilmeye devam edeceğini söyledi. Dijital politika memuru ayrıca, kurallara uyduklarından emin olmak için devlet kuruluşlarına denetim ve uyumluluk kontrolleri yapacaktır.
Hükümet, kritik altyapı siber güvenlik olaylarını araştırırken hassas kişisel veriler ve iş açısından kritik veriler toplayan kurumlar hakkındaki endişeleri ele almaya çalışıyor, ancak ajansların hassas verilere erişme olasılığını göz ardı etmedi.
Faturalar Komitesi tarafından Ocak ayında yetkililerin kişisel veri toplamasını sağlayan bir soruya yanıt veren hükümet, düzenleyici makamın yalnızca belirli bir amacı yerine getirmesi ve yetkilerini yasa uyarınca kullanmasına yardımcı olması durumunda kritik altyapı sağlayıcılarından bilgi isteyeceğini söyledi.
Hükümet, “Tasarı, yönetmeliği uygulama ihtiyacı ile kişisel verileri ve ticari sırları korumanın önemi arasında bir denge kurdu.” Dedi. Diyerek şöyle devam etti: “İlgili hükümlerde verilen koşullar, prosedürler ve amaçlar, tasarının kişisel verileri veya ticari sırları hedeflemeyeceği politikasını yeterince yansıtmıştır.”