Hong Kong Güvenlik Bakanı Chris Tang Ping-keung, özellikle bölgede faaliyet gösteren ABD işletmeleri üzerindeki etkisi olmak üzere yeni önerilen Hong Kong siber güvenlik tasarısıyla ilgili endişeleri açıklığa kavuşturmaya çalıştı. Tang’ın güvenceleri, Hong Kong’daki Amerikan Ticaret Odası’nın tasarı kapsamı ve gizlilik üzerindeki etkileriyle ilgili sorduğu sorulara yanıt olarak geldi.
Söz konusu yasa tasarısı, Kritik Altyapı (Bilgisayar Sistemi) Koruma Yasası olarak bilinir ve sekiz temel sektördeki temel altyapılar için siber güvenlik önlemlerini güçlendirmeyi amaçlar. Bu sektörler arasında enerji, bilgi teknolojisi, bankacılık, iletişim, denizcilik, sağlık hizmetleri ve kara ve hava taşımacılığı yer alır.
South China Morning Post’un haberine göre, bu sektörlerdeki operatörler kritik bilgisayar sistemleri için güncel güvenlik önlemlerini sağlayamazlarsa 5 milyon Hong Kong dolarına (yaklaşık 640.200 ABD doları) kadar para cezasıyla karşı karşıya kalabilirler.
Hong Kong Siber Güvenlik Tasarısı Etrafındaki Tartışma
Tang, yakın zamanda bir radyo programında, yasa tasarısı için bir aylık istişare süresi boyunca geri bildirim gönderen Amerikan Ticaret Odası’nın endişelerine değindi. Alınan 53 başvurudan yalnızca biri, İngiltere merkezli bir insan hakları örgütü, karşı çıktı. Tang, yasa tasarısının amacının işletmelerin mahremiyetini ihlal etmek değil, kritik altyapıların güvenliğini sağlamak olduğunu vurguladı.
“Bu işletmelerin kişisel bilgileri veya operasyonel detaylarıyla ilgilenmiyoruz. Tek odak noktamız sistemlerinin güvenli olduğundan emin olmaktır,” diye iddia etti Tang. “Herhangi biri yasa tasarısının kişisel bilgileri izlemeyi amaçladığını öne sürerse, sizi yanıltmaya veya korkutmaya çalışıyor demektir,” diye uyardı.
Amerikan Ticaret Odası, bilgi teknolojileri sektörünün geniş kapsamlı bir şekilde dahil edilmesinin, kritik altyapı yönetiminde doğrudan rol almayan çok sayıda teknoloji şirketini istemeden de olsa kapsayabileceğini öne sürerek endişelerini dile getirmişti.
Ayrıca, mevzuatın yalnızca Hong Kong siber güvenliği için kritik altyapılar ve bilgisayar sistemlerine uygulanacağı konusunda açıklık getirilmesini talep ettiler ve herhangi bir sınır ötesi etkinin aşırı uyumluluk maliyetleri getirebileceği ve çokuluslu yatırımları caydırabileceği konusunda uyardılar.
Tang buna karşılık, bilgi teknolojisi sektörünün dahil edilmesinin hayati önem taşıdığını savundu. ABD, Avustralya ve Singapur dahil olmak üzere birçok ülkenin, günlük operasyonlarda ve siber güvenlikte önemli bir rol oynaması nedeniyle bilgi teknolojisini kapsayan benzer düzenlemelere sahip olduğunu belirtti.
Tang, “BT sektörünün katılımı, yasa tasarısının hedeflerine ulaşmak için elzemdir. Bunu ihmal etmek, yasa koyucunun amacını zayıflatabilir ve siber güvenlik çerçevemizde önemli boşluklar bırakabilir” diye açıkladı.
Hong Kong Siber Güvenliğine İlişkin Endişeler
Ayrıca Tang, yeni ofisin soruşturma yetkileri de dahil olmak üzere yeni Hong Kong siber güvenlik mevzuatı hakkındaki endişelere değindi. Güvenlik Bürosu altında kurulacak ofisin yalnızca kritik altyapıya odaklanacağını ve erişimini küçük ve orta ölçekli işletmelere veya bireysel operatörlere genişletmeyeceğini temin etti.
Ciddi bir güvenlik olayı durumunda, operatörlerin yeni ofisi iki saat içinde bilgilendirmeleri gerekecektir. Daha az acil sorunlar için, bildirim süresi 24 saattir. Gerekli risk değerlendirmelerine uyulmaması veya bunların yapılmaması, daha önce belirtilen önemli para cezalarına yol açabilir.
Tang ayrıca hükümetin, olası tehditleri veya hedef alınmaları önlemek için yasa tasarısından etkilenen şirketlerin listesini gizli tutmayı planladığını açıkladı. Yasa tasarısının yıl sonuna kadar yasa koyuculara iletilmesi bekleniyor ve hükümet, devam eden endişeleri ele almayı ve mevzuatı kesinleştirmeyi hedefliyor.
Özetle, Kritik Altyapının Korunmasını geliştirmek için tasarlanan Hong Kong siber güvenlik tasarısı, bireysel gizliliği ihlal etmeden temel sistemleri güvence altına almak için sıkı standartlar oluşturmayı amaçlamaktadır. Odak noktası, yasa tasarısının yanlışlıkla daha küçük işletmeleri veya özel verileri etkilememesini sağlamak için güvenlik önlemleriyle birlikte kritik altyapıları siber tehditlere karşı korumaktır.