Coğrafi Odak: Asya, Coğrafi Özel, Yönetişim ve Risk Yönetimi
Hükümetin Vatandaş Veritabanı, Veri Gizliliği ve Güvenlik Riskleri Üzerinden İtiraz Ediyor
Jayant Chakravarti (@JayJay_Tech) •
28 Mart 2024
Malezya, kritik ulusal altyapıya yönelik artan siber güvenlik tehditlerine yanıt olarak çığır açan bir siber güvenlik yasasını kabul etti; ancak mahremiyet savunucuları, vatandaşların mahremiyetine yönelik en büyük riskin, 29 milyon vatandaşın verilerini depolayacak merkezi bir hükümet veritabanı olan PADU olduğuna inanıyor.
Üç yılı aşkın bir süredir üzerinde çalışılan Siber Güvenlik Yasası 2024, siber güvenliğe adanmış kapsayıcı mevzuat olarak Kişisel Verileri Koruma Yasası 2010, Polis Yasası 1967 ve Malezya İletişim ve Multimedya Komisyonu 1988 gibi eski yasaların yerini alıyor.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileri Sayesinde Sıfır Güven Hedeflerinize Nasıl Ulaşabilirsiniz?
Kanun, Ulusal Siber Güvenlik Ajansı'nı (NACSA) siber güvenlik yasalarını ve düzenlemelerini düzenleyen ve uygulayan tek yasal otorite haline getiriyor ve siber güvenlik yönetimine yönelik önceden parçalanmış bir yaklaşımı merkezileştiriyor.
Kanun ayrıca, federal hükümete ulusal siber güvenlik konularında tavsiye ve tavsiyelerde bulunacak, başbakanın başkanlığında ve kabine üyelerinden oluşan bir Ulusal Siber Güvenlik Komitesinin kurulmasına da olanak tanıyor.
2024 Siber Güvenlik Yasası aynı zamanda kuruluşların siber güvenlik olaylarını yetkililere bildirme gerekliliklerinin bulunmaması gibi siber güvenlikle ilgili mevcut yasalardaki kritik boşlukları kapatmayı da amaçlıyor.
Geçiş, ülkedeki siber güvenlik becerilerini artırmak, kurumlara ek kaynak ayırmak ve siber suçlara karşı özel sektörle ortak çabalara liderlik edecek hükümet organları oluşturmak için hükümetin acil eylemiyle aynı zamana denk geliyor.
Hükümetin en büyük zorluklarından biri, yaklaşık 29 milyon vatandaşın kişisel ve mali bilgilerini saklayacak merkezi bir veri tabanının güvenliğini sağlamak olacak. Hükümet, veritabanının hedeflenen sübvansiyonların ihtiyacı olanlara dağıtılmasına yardımcı olacağını söylüyor ancak veritabanını siber saldırılara veya kötü niyetli kullanıma karşı nasıl korumayı planladığı konusunda sorularla karşı karşıya.
İşçi Eksikliğiyle Mücadele
Pazartesi günü Başbakan Anwar Ibrahim, Malezya'nın Silikon Vadisi olarak da bilinen büyüyen bir teknoloji merkezi olan Cyberjaya'da bir Siber Güvenlik Mükemmeliyet Merkezi'ni kurdu. Merkezin ülke çapındaki 12.000 siber güvenlik çalışanı açığının kapatılmasına yardımcı olacak önemli bir eğitim tesisi olarak hizmet vereceğini söyledi.
Anwar, “Konuşmamda, CCoE'nin Malezya'nın 2025 yılına kadar siber güvenlik alanında 25.000 insan kaynağına sahip olma çabalarına yardımcı olabileceğine olan güvenimi ifade ettim.” söz konusu X hakkında. Merkezin ayrıca “güvenlik tehditleri ve siber suçlarla mücadele çabalarında bilgi paylaşımının ve bölgesel işbirliğinin kurulmasına” yardımcı olacağını söyledi.
CCoE'yi Malezya ve Kanada hükümetleriyle ortaklaşa başlatan siber güvenlik şirketi BlackBerry, aynı zamanda SANS Enstitüsü ve Toronto Metropolitan Üniversitesi'nin Rogers Siber Güvenlik Katalizörü olarak da bilinen ulusal siber güvenlik eğitimi, araştırma ve inovasyon merkezi ile de ortaklık kurduğunu söyledi. Mayıs ayından itibaren Malezyalılara siber güvenlik eğitimi sunacağız.
Geçtiğimiz yıl NACSA, dijital adli tıp, kalem testi, risk tanımlama ve azaltma, tehdit istihbaratı, ağ güvenliği ve etik hackleme gibi becerilere yönelik ücretsiz siber güvenlik eğitimi sağlamak için küresel siber güvenlik sertifikasyon lideri EC-Council'den 1 milyon dolar fon aldı.
Anwar, AK Konseyi fonlarının yaklaşık 2.000 Malezyalıya uluslararası siber güvenlik kurslarına erişim ve NACSA'daki yerleştirme fırsatlarından ve işlerden yararlanma şansı verebileceğini söyledi.
“Hükümet, ulusal siber güvenlik ekosistemini tamamlamak için siber güvenlik alanındaki yetenek, kapasite ve profesyonel sayısının yanı sıra vasıflı işgücünün artırılması ihtiyacını ciddi olarak görüyor. Gerekli 12.000 işçi eksikliğinin üstesinden gelmek için hükümetler arasında işbirliği, Eğitim kurumları ve sektör oyuncularının durumu kritik” dedi.
Siber güvenlik iş gücünü geliştirmek, hükümetin 2020-2024 ulusal Siber Güvenlik Stratejisinde ana hatlarıyla belirttiği çeşitli zorluklardan sadece bir tanesidir. Modernize edilmiş bir siber güvenlik yasası gerektiren, kritik ulusal altyapının yönetimini iyileştiren ve siber güvenlik iş gücünü destekleyen yeni stratejiye 434 milyon dolar yatırım yapma sözü verdi.
Hükümet, 2024 ulusal bütçesinde, siber güvenlik ve dijital dönüşüm yatırımlarını denetleyen İletişim ve Dijital Bakanlığı'na 500 milyon doların üzerinde tahsis etti.
Siber Güvenlik Malezya, hükümetin siber güvenlik danışma organı, 2023'ün ilk yarısında tüm ihlallerin %22'sinin hükümet sektöründen kaynaklandığını ve bilgisayar korsanlığı saldırılarının üçte ikisinin tehdit aktörleri arasında veri sızıntısı veya veri paylaşımıyla sonuçlandığını söyledi.
Teşkilat, tehdit aktörlerinin devlet kurumlarından, Ulusal Kayıt Departmanından 22 milyon Malezyalının kayıtları, çeşitli devlet kurumlarından 22,5 milyon Malezyalının ayrıntılı kayıtları ve Maybank, uydu yayıncısı Astro ve Seçim Komisyonu.
Merkezileştirilmiş Kamu Veritabanı Gizlilik Kaygılarını Artırıyor
Artan bütçe tahsisi, hükümetin, etkili hizmet sunumu ve politika oluşturmayı mümkün kılmak için tüm hükümet kaynaklarından gelen verileri birleştiren Kamuya Açık Veri Evreni – veya PADU – adı verilen merkezi bir çevrimiçi hükümet veritabanını başlatmasıyla aynı zamana denk geldi.
Hükümet veritabanının yaklaşık 29 milyon vatandaşın adını, demografik ayrıntılarını, adreslerini, gelir ayrıntılarını, banka kayıtlarını, borçlarını, mülklerini ve yatırımlarını (hükümetin vatandaşların sosyoekonomik profillerine dayalı olarak yardım ve sübvansiyon sağlamasına yardımcı olabilecek bilgiler) saklaması bekleniyor.
Bu program, veritabanının veri güvenliği ve vatandaşların veri gizliliği konusunda endişeler yaratıyor ve gizlilik aktivistleri, Kişisel Verilerin Korunması Yasası'nın hükümet için geçerli olmadığını söylüyor. Hükümetin son kayıt tarihi olan 31 Mart'a rağmen, 18 Mart itibarıyla yalnızca 5,43 milyon Malezyalı veri tabanına kaydolmuştu.
Hak grubu Avukatlar for Özgürlük, “Hükümetin ne yazık ki veri koruma konusunda kötü bir geçmişi var” dedi. “Birden fazla devlet kurumundan veri çalındığına, hükümetin PDPA kapsamında sorumluluktan muaf olması nedeniyle hiçbir yasal başvuru yolu olmaksızın kullanıcıları dolandırıcılığa ve veri sahtekarlığına maruz bıraktığına dair çok sayıda rapor var. Bu, halkı korkunç bir dezavantajla ve kayıp ve hasar tehlikesiyle karşı karşıya bırakıyor. “
PADU girişimine öncülük eden Ekonomi Bakanı Rafizi Ramli, geçen hafta vatandaşların kaygılarını ele almak üzere kamuoyuna yaptığı açıklamada, hükümetin veri tabanına kimlerin erişebileceğini sıkı bir şekilde kontrol edeceğini ve saklanan bilgi ve belgelere Resmi Sırlar Yasası ile Bilgisayar Suçları Yasası'nı uygulayacağını söyledi. ilgili donanım.
“Bu nedenle, PADU'daki verilere erişmeyi, verileri izinsiz olarak yüklemeyi, indirmeyi, değiştirmeyi, eklemeyi veya dağıtmayı içeren herhangi bir eylem, mahkumiyet durumunda hapis, para cezası veya her ikisiyle cezalandırılabilecek ceza gerektiren bir suçtur” dedi.
Salı günü Rafizi Parlamentoya, PADU veri tabanının her gün 2 milyondan fazla izinsiz giriş girişimine rağmen dirençli kaldığını söyledi. Malezya ulusal haber ajansı Bernama tarafından erişilen bir konuşmasında, “Günde 2 milyonu aşan erişim girişimlerine rağmen, özellikle ilk ayda bunların hepsi engellendi ve PADU sistemine hala erişilemedi” dedi.
“Elbette dengelememiz gereken şeyler var ve ülke dışından erişime izin vermiyoruz çünkü şu ana kadar çoğu erişim girişiminin kayıtları ülke dışından veya riskli gördüğümüz yerlerden geliyor.”
Rafizi, PADU veritabanında saklanan veri kayıtlarının şifrelendiğini söyledi. “Bu, birisi içeri girip dosyaları indirmeyi başarsa bile, bu dosyaların şifresinin çözülmesi gerektiği anlamına geliyor” dedi.
Siyasi muhalifler ve gizlilik aktivistleri ikna olmuş değil. Politikacılar, hükümetin vatandaşlar hakkında çok fazla bilgi toplaması ve verilerin siyasi amaçlarla kötüye kullanılması potansiyeli konusundaki endişelerini dile getirse de, kamu politikası araştırma grubu Penang Enstitüsü, hükümetin potansiyel veri güvenliği riskleri ve bunun vatandaşlar üzerindeki etkisi konusunda şeffaf olması gerektiğini söyledi.
“Güvenilir bir veritabanı sistemi oluşturmak için veri erişimi, yönetimi ve imha prosedürlerini özetleyen net bir veri yönetişim çerçevesinin oluşturulmasına acilen ihtiyaç vardır. PADU, veri güvenliği uygulamaları konusunda şeffaf olmalı ve potansiyel riskleri ve ihlalleri paydaşlara iletmelidir. Ayrıca, bu bir Gelişmekte olan tehditlere ve güvenlik açıklarına ayak uydurmak için sürekli izleme, değerlendirme ve uyarlamanın hayati önem taşıdığı devam eden bir tatbikat” dedi.
Malezya Siber Güvenlik CEO'su Amirudin Abdul Wahab, merkezi veritabanının her an güvenlik açıkları içerebileceğini ve hükümetin düzenli güvenlik denetimleri yoluyla dayanıklılığını test etmesi gerektiğini söyledi. “Ne kadar çok bağlanırsak, o kadar çok açığa çıkarız. Şu anda bir sistemin güvenliği, önümüzdeki beş veya altı aydaki güvenliğini otomatik olarak garanti etmez. Bu nedenle, veritabanının güvenliğini sağlamak için periyodik olarak güvenlik denetimleri yapmalıyız. “dedi.
Ocak ayında siber güvenlik şirketi Cymetrics tarafından yapılan bir analiz, merkezi veritabanının HTTPS'yi desteklemediğini ortaya çıkardı; bu da tehdit aktörlerinin kimlik çerezleri ve PII gibi hassas bilgileri düz metin olarak ele geçirebileceği anlamına geliyor.
Araştırmacılar, sistemin genel kod deposunun açığa çıkarıldığını, kaynak kodunun ve değişiklik geçmişinin açığa çıktığını ve sistemin, şüpheli olarak işaretlenmiş olsalar bile spam e-postaları kullanıcıların gelen kutularına ilettiğini buldu.
Özgürlük Avukatları, hükümetin, PADU tarafından toplanan verilerin nasıl kullanıldığını yönetecek yasal bir çerçevenin olmasını sağlamak amacıyla Kişisel Verileri Koruma Yasası 2010'da değişiklik yapmasının önemli olduğunu söyledi. Rafizi, siber güvenlik tasarısının veri güvenliği endişelerini gidereceğine söz vermesine rağmen grup, hükümeti eylemleri konusunda daha açık ve şeffaf olmaya çağırdı.
“KHVK'da, hükümete ve toplanan verilerin korunması ve güvenliğinden sorumlu kurumlara sorumluluk ve sorumluluk yükleyecek bir ivedi değişiklik yapılmasına ihtiyaç var. Torba Kanun olsun ya da olmasın, KVKK'da yapılacak değişiklikler bitmiş olmalı.
“PADU'nun piyasaya sürülmesinden önce değişiklikler yapılmadan, kamuoyuna, verilerinin hükümet veya dolandırıcılar ve şüphesiz devasa veritabanını hedef alacak vicdansız kişiler tarafından kötüye kullanımdan korunacağından emin olunamaz.
Grup, “Bu tür suçlar artık herkesin bildiği gibi yaygın ve bölgesel hale geldi. Hükümetin yasayı düzeltmeden ilerlemesi tuhaf çünkü bu, atı arabanın önüne koymakla aynı anlama geliyor.” dedi.