İhlal Bildirimi, Coğrafi Odak: Asya, Coğrafi Özel
CSA, Kritik Olmayan Dijital Altyapıyı İzlemek İçin Gözden Geçirilmiş Siber Güvenlik Yasasını Teklif Ediyor
Jayant Chakravarti (@JayJay_Tech) •
15 Aralık 2023
Singapur siber güvenlik kurumu, tedarik zinciri güvenliğini ve kritik bilgi altyapısı tanımının dışında kalan dijital teknolojileri izleme yeteneğini geliştirmek için ülkenin Siber Güvenlik Yasasında yapılması önerilen değişiklik listesi hakkında kamuoyunun yorumunu istiyor.
Ayrıca bakınız: Bir İhlal Sonrası CISO’nun Müdahale Planı
Singapur Siber Güvenlik Ajansı, teklif edilen tasarının önemli yönlerini Cuma günü açıkladı ve beş yıllık yasanın teknolojideki hızlı değişimler nedeniyle yakında geçerliliğini yitirebileceğini belirtti.
CSA, işletmelerin bulut bilişim ve yeni iş modelleri gibi teknolojileri benimsediğini, dolayısıyla Siber Güvenlik Yasası’nın bu nedenle gelişmesi gerektiğini söyledi.
Ajans, kritik altyapı ve temel hizmet sağlayıcılarının bulut sağlayıcıları, yazılım tedarikçileri ve tedarik zinciri satıcılarıyla yapılan mevcut anlaşmalar hakkında CSA komisyon üyesi ile bilgi paylaşmasını talep etmeyi amaçlıyor.
Değişiklikler aynı zamanda CII operatörlerinin ve sahiplerinin, tedarikçilere yönelik düzenli risk değerlendirmeleri ve denetimler yapmalarını ve satıcılar veya bulut sağlayıcıları tarafından saklanan ve işletilen kritik bilgi ve sistemlerin güvenliğine ilişkin tüm sorumluluğu üstlenmelerini zorunlu kılmayı amaçlıyor. Temel hizmetlerin sağlayıcıları aynı zamanda satıcıları veya tedarikçileri etkileyen siber güvenlik olaylarını da bildirmelidir.
Teklif kapsamında, sağlayıcının yasaya veya belirli kurallara, uygulamalara, standartlara ve komisyon üyesinin yazılı talimatlarına uymaması durumunda, CSA komisyon üyesi kritik bilgi altyapısının yerinde denetimlerini gerçekleştirebilecek.
Siber Güvenlik Yasası’nın 2018’de kabul edilmesinden bu yana Singapur, temel hükümet sistemlerinin ve kritik altyapının siber güvenliğini artırmak için artan adımlar attı. Hükümet bu yıl, Kamu Sektörü Veri Güvenliği İnceleme Komitesi tarafından önerilen, dış ortakların hükümet verilerini uygun şekilde işlemesini sağlamak için bir üçüncü taraf yönetim çerçevesinin geliştirilmesi de dahil olmak üzere 24 siber güvenliği artırıcı eylemi hayata geçirdi (bkz: Singapur Hükümeti Veri Güvenliği Olaylarını Kontrol Altında Tutuyor).
Önerilen eylemler arasında, halkın devlet veri olaylarını rapor etmesini sağlamak için Devlet Veri Ofisinde merkezi bir iletişim noktasının kurulması, veri güvenliği için kurumsal temel performans göstergelerinin oluşturulması ve kamu sektörü veri güvenliğini denetlemek üzere Dijital Devlet Yürütme Komitesinin atanması yer alıyordu.
2022’de hükümet ayrıca tüm devlet dizüstü bilgisayarlarında bir veri kaybı önleme aracının dağıtımını tamamladı ve devlet verilerinin kazara kaybolmasını veya üçüncü taraflara izinsiz olarak ifşa edilmesini önlemek için gelişmiş veri kaydı ve izleme yetenekleri sağladı.
Siber Güvenlik Yasası’nda önerilen değişiklikler, 2018 mevzuatının kapsamına girmeyen dijital altyapı ve çevrimiçi platformların güvenliğinin güçlendirilmesini amaçlıyor.
“Dijital altyapının işleyişindeki kesintiler, bunlara dayalı hizmetler üzerinde potansiyel olarak yaygın zincirleme etki göz önüne alındığında, önemli bir etkiye sahip olabilir. Bu nedenle, Singapurluların güvendiği dijital altyapının, bu altyapının ötesinde, sağlanmasına ihtiyaç vardır. CSA, halihazırda CII olarak belirlenmiş olanların güvenli olduğunu belirtti.
Ajans, önerilen değişikliklerin CSA komisyon üyesine dijital hizmet varlıklarını “temel dijital altyapı” olarak belirleme yetkisi vereceğini söyledi. Bu atamaya sahip kuruluşların, mevcut siber güvenlik protokolleri ve uygulamaları ile siber güvenlik olayları hakkında komisyon üyesini bilgilendirmeleri ve komisyon üyesinin belirli kodlarına, uygulamalarına, standartlarına ve yazılı talimatlarına uymaları gerekecektir.
CSA Komiseri David Koh, “Siber Güvenlik Yasasının bu güncellemesi, kullandığımız dijital altyapı ve hizmetler için gerekli önlemlerin alınmasını sağlamak açısından önemlidir.” dedi. “Bu şekilde Singapurlular ve işletmeler, dijital alanda güvende olduklarını bilerek dijitalleşmeyi güvenle benimseyebilirler.”
Değişiklikler yasalaştığında komisyon üyesi, büyük doğrudan yabancı yatırımlara yönelik olay raporlama gereksinimlerine ilişkin (bir raporun gerekli olduğu eşik, raporlama zaman çizelgeleri ve raporlanacak bilgiler gibi) kurallar oluşturacak. CSA ayrıca “uyumsuzluktan kaynaklanan risklerle orantılı ve uyumsuzluğa karşı etkili caydırıcı etkiye sahip” mali cezalar da uygulayabilecek.
Komiser, uzlaşmalarının Singapur’un savunması, dış ilişkileri, ekonomisi, kamu sağlığı, kamu güvenliği veya kamu düzeni üzerinde önemli bir etkiye sahip olması muhtemelse, kuruluşları “özel siber güvenlikle ilgilenen kuruluşlar” olarak belirleme yetkisine sahip olacak. Doğrudan Yabancı Yatırımlar gibi ESCI’ler de siber güvenlik olaylarını ve siber güvenlik protokolleri ve uygulamaları hakkındaki bilgileri zaman zaman veya bu tür bilgiler talep edildiğinde CSA’ya rapor edecektir.
Siber suçluların en çok ihtiyaç duyulduğu anda temel bilgisayar sistemlerini ve dijital altyapıyı bozmalarını önlemek amacıyla yapılan değişiklikler aynı zamanda Singapur için sınırlı bir süre için kritik önem taşıyan belirli bilgisayar sistemlerini “geçici siber güvenlik endişesi taşıyan sistemler” olarak tanımlamayı da amaçlıyor. Bu tür sistemler, Dünya Ekonomik Forumu gibi önemli uluslararası etkinlikleri destekleyen sistemleri veya COVID-19 salgını sırasında aşı dağıtımını desteklemek için kurulan sistemleri içerebilir.