Con superficies de ataque cada vez mayores e infraestructuras tecnológicas que ya no son necesariamente físicas, Singapur dice que su la seguridad cibernética la legislación debe mantenerse al día con el cambiante panorama de amenazas y administrarse adecuadamente para mantener resilientes sus infraestructuras críticas.
El proyecto de ley de ciberseguridad (enmienda) fue aprobado el martes luego de dos lecturas en el parlamento para abordar «cambios en el contexto operativo de la ciberseguridad» y los desafíos operativos que enfrentó su administrador, la Agencia de Seguridad Cibernética (CSA), en medio de tales cambios, dijo Janil Puthucheary, ministro principal de Singapur. ministro de Estado del Ministerio de Comunicaciones e Información (MCI), dijo en el parlamento.
También: La IA está cambiando la ciberseguridad y las empresas deben tomar conciencia de la amenaza
Las actualizaciones seguirán el ritmo de los avances en tecnología y prácticas comerciales y extenderán la supervisión regulatoria de CSA a otras entidades y sistemas más allá de los activos físicos. Las enmiendas permitirán al regulador responder mejor a los cambiantes desafíos de ciberseguridad y operar con un enfoque basado en el riesgo al regular las entidades, dijo Puthucheary.
Por ejemplo, cuando se aprobó por primera vez la Ley de Ciberseguridad establecido en 2018, buscaba regular las ICI (infraestructuras de información críticas) que eran sistemas físicos. Sin embargo, el Ministro señaló que desde entonces han surgido nuevas tecnologías y modelos de negocio, en particular con la aparición de la computación en la nube.
También: Ciberseguridad 101: todo sobre cómo proteger su privacidad y mantenerse seguro en línea
Señaló que se estima que el 60% de las empresas locales utilizan algún tipo de tecnología de la nube en sus operaciones y, como resultado, los modelos de negocio han cambiado. Este cambio generó desafíos en la aplicación de la Ley, que fue redactada cuando los sistemas físicos de TI en las instalaciones todavía eran comunes y estaban controlados o eran propiedad del propietario de la CII, dijo.
Con las últimas actualizaciones, la CSA puede regular mejor las ICI y Garantizar que estas infraestructuras puedan resistir las amenazas en línea.independientemente de la tecnología o el marco en el que se asientan, añadió.
En particular, la definición de «computadora» y «sistema informático» que figura en algunas partes del proyecto de ley ahora incluye «computadoras virtuales» y «sistemas informáticos virtuales». También se han incluido disposiciones para establecer qué implica la propiedad de dichos sistemas, ya que esto puede incluir sistemas tanto físicos como virtuales para brindar servicios esenciales, dijo Puthucheary.
En una CII virtual, como en un entorno de nube donde la infraestructura física subyacente podría compartirse o reemplazarse fácilmente, no tendría sentido regular el hardware subyacente, señaló.
También: Los mejores servicios VPN (y cómo elegir el adecuado para ti)
La legislación actualizada permite al gobierno dejar en claro que el propietario de la CII es responsable de la ciberseguridad de su infraestructura virtualizada, no los terceros involucrados en el suministro de la infraestructura física subyacente, dijo.
El Ley de ciberseguridad enumera 11 sectores ICI, que incluyen agua, atención médica, marítimo, infocomunicaciones, banca y finanzas, y aviación. La Ley describe un marco regulatorio que formaliza los deberes de los proveedores de ICI para proteger los sistemas bajo su responsabilidad, incluso antes y después de que haya ocurrido un incidente de ciberseguridad.
Más allá de las infraestructuras críticas
La mayor digitalización también ha resultado en la agregación y el intercambio de servicios y funciones digitales comunes a través de las fronteras para brindar servicios esenciales en diferentes mercados globales, dijo Puthucheary.
Además, la tecnología digital es ahora una parte integral de la vida en Singapur, donde más del 90% de los residentes se comunican en línea, afirmó. Las organizaciones también utilizan ampliamente las tecnologías digitales, aumentando su tasa de adopción de tecnología del 74% en 2018 al 94% en 2022.
Una vez más, estos acontecimientos han hecho necesario actualizar la legislación para garantizar mejor los servicios esenciales.
«Ahora somos más los que estamos en línea durante más tiempo y para propósitos más variados. Esto significa que estamos expuestos a más riesgos cibernéticos, ya que cada tecnología digital que utilizamos, cada transacción que realizamos y cada conexión entre computadoras es una ruta posible. para atacar», dijo Puthucheary, señalando una mayor superficie de ataque.
También: Cómo los firewalls de IA protegerán sus nuevas aplicaciones comerciales
Añadió que los malos actores recurren cada vez más a nuevas formas de violar los sistemas, en particular, a través de ataques a la cadena de suministro o apuntando a sistemas adyacentes. El 2020 Incumplimiento de SolarWinds, por un lado, permitió a su atacante utilizar las actualizaciones periódicas del software para implantar una puerta trasera y afianzarse en las redes de las organizaciones que descargaron e instalaron la actualización maliciosa. Esta fundación proporcionó al atacante acceso privilegiado a las redes internas, afirmó el ministro de Singapur.
«Para causar una perturbación significativa en la forma en que trabajamos y vivimos, aquellos que quieren hacernos daño pueden derribar la infraestructura digital de la que dependemos, o las instituciones y entidades que guardan nuestra información sensible o desempeñan funciones de interés nacional. Por lo tanto, cuando se trata Para proteger a Singapur en el ciberespacio, regular la ciberseguridad de las ICI ya no es suficiente», afirmó.
Se ha incluido una nueva cláusula para regular a los proveedores de servicios esenciales que dependen de ICI propiedad de terceros para la prestación del servicio esencial. Por ejemplo, un proveedor externo podría poseer, operar y suministrar un sistema de gestión de operaciones críticas utilizado por múltiples proveedores de un servicio esencial. Este proveedor externo podría tener mayor experiencia en sistemas operativos y hacerlo a un costo menor, debido a la agregación de la demanda.
La Ley de Ciberseguridad de 2018 no preveía tales entornos, ya que era norma que los proveedores de servicios esenciales poseyeran y operaran sus sistemas críticos. Sin embargo, incluso con el modelo de negocio emergente, los proveedores de servicios esenciales deben seguir siendo responsables de la ciberseguridad y la ciberresiliencia de los sistemas informáticos de los que dependen para prestar los servicios esenciales, dijo Puthucheary.
La nueva cláusula garantiza que no pueden subcontratar esta responsabilidad cibernética, incluso si dependen del sistema informático de un tercero para la prestación continua del servicio esencial, dijo.
Esto no coloca a los proveedores de servicios esenciales bajo la supervisión regulatoria de la CSA, pero deben garantizar que los sistemas en los que confían cumplan con estándares y requisitos de ciberseguridad comparables de una ICI a través de compromisos legalmente vinculantes, como contratos, explicó.
Las enmiendas no buscan imponer obligaciones de ciberseguridad a la comunidad empresarial en general, dijo Puthucheary, en respuesta a preguntas durante el parlamento sobre las implicaciones económicas del cumplimiento.
«[The Act aims to] regular sólo la ciberseguridad de los sistemas, infraestructura y servicios que son importantes a nivel nacional porque su interrupción o compromiso podría afectar nuestra supervivencia, seguridad u otros intereses nacionales», dijo. «Este es un conjunto conocido y finito de sistemas y entidades. Nuestro enfoque es específico y calibrado, precisamente porque reconocemos que la regulación implicará costos de cumplimiento».
También: ¿Quieres trabajar en IA? Cómo dar un giro a tu carrera en 5 pasos
Aclaró que las modificaciones imponen obligaciones a cuatro grupos de entidades, que abarcan proveedores de servicios esenciales, ya sean propietarios de ICI o dependan de terceros proveedores para las ICI, y entidades de «especial interés en ciberseguridad», que son sistemas de TIC que pueden contener información sensible o realizar funciones que dañarán los intereses nacionales si se interrumpen.
La Ley actualizada también se aplica a los propietarios de «sistemas que plantean problemas temporales de ciberseguridad», en los que la pérdida temporal de dichos sistemas tendría un impacto grave y perjudicial para los intereses nacionales de Singapur.
La CSA debe poder supervisar de forma proactiva la ciberseguridad de dichos sistemas, dijo Puthucheary.
Los principales proveedores de servicios de «infraestructura digital fundamental» también tienen obligaciones según la legislación actualizada porque la interrupción de estos servicios podría tener «perturbaciones en cadena» para las organizaciones que operan en Singapur, dijo.
Las empresas que entran en esta categoría figuran en la Ley actualizada e inicialmente cubrirán computación en la nube y servicios de centro de datos. Se agregarán más empresas a la lista a medida que nuevos tipos de infraestructuras digitales adquieran importancia para satisfacer las necesidades de las empresas y los consumidores locales, dijo el ministro.
Según esta disposición, la CSA puede emitir o aprobar estándares de desempeño y códigos de práctica que los proveedores de servicios de infraestructura digital fundamentales deben tener implementados. Estos proveedores también tendrán que informar incidentes de ciberseguridad que resulten en una interrupción o degradación de sus servicios en Singapur o que tengan un impacto significativo en sus operaciones comerciales locales.