Karena meningkatnya lingkungan serangan dan peralatan teknologi yang tidak lagi bersifat fisik, Singapura mengatakan undang-undang keamanan sibernya harus mampu mengimbangi perubahan ancaman dan dikelola secara memadai untuk memastikan pertahanannya tangguh.
RUU Keamanan Siber (Amandemen) disahkan pada hari Selasa setelah dua pembacaan di parlemen untuk membahas “perubahan sifat keamanan siber” dan tantangan yang dihadapi oleh regulatornya, Badan Keamanan Siber (CSA) Janil Puthucheary, Perdana Menteri Singapura . dari Negara untuk Komunikasi dan Informasi (MCI), kata di parlemen.
Selain itu: AI mengubah keamanan siber dan dunia usaha harus menyadari ancaman tersebut
Perubahan-perubahan ini akan mengimbangi kemajuan teknologi dan praktik bisnis serta memperluas pengawasan CSA terhadap organisasi dan praktik di luar ekonomi fisik. Perubahan-perubahan ini akan membantu administrator untuk merespons dengan lebih baik tantangan-tantangan keamanan siber saat ini dan bekerja melalui penggunaan langkah-langkah proaktif dalam pengelolaan organisasi, kata Puthucheary.
Misalnya, ketika Undang-Undang Keamanan Siber pertama kali diperkenalkan pada tahun 2018, undang-undang tersebut berupaya mengatur CII (sektor yang sangat penting) yang merupakan sistem fisik. Namun, menteri juga mengatakan bahwa teknologi dan model bisnis baru telah dimulai, terutama dengan munculnya komputasi awan.
Juga: Keamanan Siber 101: Segala sesuatu tentang cara melindungi privasi Anda dan tetap aman saat online
Dia menambahkan bahwa sekitar 60% bisnis lokal menggunakan beberapa bentuk teknologi cloud dalam operasional mereka dan, sebagai hasilnya, bisnis telah berubah. Perubahan ini menimbulkan kesulitan dalam penerapan UU yang dibuat ketika sistem TI di lokasi bersifat umum dan dikendalikan atau dimiliki oleh CII, katanya.
Dengan pembaruan terkini, CSA dapat mengontrol CII dengan lebih baik dan memastikan bahwa perangkat ini dapat bertahan dari ancaman dunia maya, apa pun teknologi atau kerangka kerja yang digunakannya, tambahnya.
Secara khusus, definisi “komputer” dan “komputer” pada bagian lain RUU ini sekarang mencakup “komputer” dan “komputer”. Ketentuan juga telah dimasukkan untuk menentukan kepemilikan sistem tersebut karena ini mungkin mencakup sistem fisik dan virtual untuk menyediakan layanan penting, kata Puthucheary.
Dalam CII nyata, seperti lingkungan cloud di mana sumber daya fisik dapat dibagikan atau diganti dengan mudah, mungkin tidak masuk akal untuk mengontrol sumber daya yang mendasarinya, katanya.
Juga: Layanan VPN terbaik (dan cara memilih yang tepat)
Aturan yang diubah memungkinkan pemerintah untuk memastikan bahwa pemilik CII bertanggung jawab atas keamanan siber, dan bukan tiga kelompok yang terlibat dalam penyediaan peralatan dasar, katanya.
Undang-Undang Keamanan Siber mencantumkan 11 sektor CII, yang meliputi perairan, layanan kesehatan, maritim, komunikasi, perbankan dan keuangan, serta penerbangan. Peraturan ini menjelaskan prosedur operasional yang menjadi tugas penyedia CII atas keamanan sistem yang berada di bawah tanggung jawabnya, termasuk sebelum dan sesudah insiden keamanan siber.
Melalui hal-hal yang paling penting
Peningkatan digitalisasi juga telah mengarah pada integrasi dan berbagi layanan digital yang digunakan oleh bisnis lintas negara untuk menyediakan layanan yang dibutuhkan di pasar global, kata Puthucheary.
Selain itu, teknologi digital kini menjadi bagian integral dari kehidupan di Singapura, di mana lebih dari 90% penduduknya berkomunikasi secara online, katanya. Organisasi juga lebih banyak menggunakan teknologi digital, sehingga meningkatkan tingkat penerapannya dari 74% pada tahun 2018 menjadi 94% pada tahun 2022.
Sekali lagi, hal ini mengharuskan perubahan undang-undang untuk memberikan perlindungan yang lebih baik.
“Banyak dari kita sekarang online untuk waktu yang lama dan online karena berbagai alasan. Artinya, kita menghadapi banyak risiko saat online, karena setiap teknologi digital yang kita gunakan, semua yang kita buat, dan setiap koneksi antar komputer, adalah sebuah kemungkinan. serangan,” kata Puthucheary sambil menunjuk ke lokasi serangan.
Juga: Bagaimana firewall AI dapat melindungi bisnis baru Anda
Dia menambahkan bahwa pelaku kejahatan beralih ke cara-cara baru untuk menembus sistem, khususnya melalui serangan atau menargetkan sistem di sekitarnya. Pelanggaran SolarWinds tahun 2020, misalnya, memungkinkan penyerang untuk secara teratur menggunakan pembaruan perangkat lunak ini untuk memasang pintu belakang dan mendapatkan akses ke jaringan organisasi yang mengunduh dan memasang pembaruan berbahaya. Pangkalan ini memberi penyerang akses ke jaringan internal, kata menteri Singapura.
“Untuk benar-benar mengganggu cara kita bekerja dan hidup, pihak-pihak yang merugikan kita dapat mengambil alat digital yang kita andalkan, atau organisasi dan institusi yang menyimpan informasi kita atau melakukan aktivitas demi kepentingan nasional. untuk melindungi Singapura di dunia maya, mengendalikan keamanan CII saja tidak cukup, katanya.
Ketentuan baru telah dimasukkan untuk memandu penyedia layanan penting yang mengandalkan CII pihak ketiga untuk menyediakan layanan penting. Misalnya, satu vendor mungkin memiliki, mengoperasikan, dan menyediakan sistem penyampaian layanan yang digunakan oleh beberapa penyedia layanan. Vendor pihak ketiga ini mungkin memiliki keahlian yang lebih baik dalam sistem operasi dan mungkin melakukannya dengan biaya lebih rendah, karena integrasi yang diperlukan.
Undang-Undang Keamanan Siber tahun 2018 tidak memberikan tempat seperti itu karena merupakan praktik umum bagi penyedia layanan untuk memelihara dan menggunakan sistem sensitif mereka. Namun, bahkan dengan munculnya model bisnis ini, penyedia layanan tetap harus bertanggung jawab atas keamanan siber dan ketahanan siber dari komputer yang mereka andalkan untuk menyediakan layanan penting, kata Puthucheary.
Klausul baru ini memastikan bahwa mereka tidak dapat mengalihkan tanggung jawab ini ke dunia maya, bahkan jika mereka bergantung pada komputer pihak lain untuk melaksanakan tugas-tugas penting, katanya.
Hal ini tidak menempatkan penyedia layanan penting di bawah pengawasan CSA, namun mereka harus memastikan bahwa sistem yang mereka andalkan memenuhi standar keamanan siber dan persyaratan CII yang sama melalui tindakan yang mengikat secara hukum, seperti kontrak, jelasnya.
Perubahan tersebut tidak bertujuan untuk menempatkan tanggung jawab keamanan siber pada publik, kata Puthucheary, sebagai jawaban atas pertanyaan di parlemen mengenai tantangan berikutnya.
“(Undang-undang tersebut berupaya untuk) hanya mengelola keamanan siber pada sistem, infrastruktur, dan layanan yang memiliki kepentingan nasional karena gangguan atau kompromi mereka dapat memengaruhi kelangsungan hidup, keselamatan, keamanan, atau kepentingan nasional lainnya,” ujarnya. “Ini adalah sistem praktik dan institusi yang terkenal dan final. Pendekatan kami langsung dan terencana, justru karena kami menyadari bahwa peraturan tersebut akan mempengaruhi investasi selanjutnya.”
Juga: Ingin bekerja di AI? Bagaimana meningkatkan karir Anda dalam 5 langkah
Ia juga menjelaskan bahwa perubahan tersebut menempatkan tanggung jawab pada empat kelompok organisasi, termasuk penyedia layanan penting, baik mereka pemilik CII atau bergantung pada vendor CII lainnya, dan organisasi dengan “ketertarikan khusus pada keamanan siber”, yaitu sistem TIK yang telah berakhir. memiliki informasi rahasia atau melakukan kegiatan yang dapat merugikan kepentingan nasional jika dikompromikan.
Undang-undang yang diubah ini juga berlaku bagi pemilik “sistem keamanan siber sementara”, yang mana hilangnya sistem tersebut untuk sementara akan sangat merugikan kepentingan nasional Singapura.
CSA harus secara hati-hati memantau keamanan siber sistem tersebut, kata Puthucheary.
Penyedia besar layanan “infrastruktur digital” juga bertanggung jawab berdasarkan undang-undang yang diubah karena gangguan terhadap layanan ini dapat menyebabkan “gangguan” pada organisasi yang beroperasi di Singapura, katanya.
Selain itu: Karyawan memasukkan informasi rahasia ke dalam alat kecerdasan buatan meskipun ada risikonya
Perusahaan-perusahaan dalam kategori ini terdaftar dalam Undang-Undang yang diamandemen dan pada awalnya akan mencakup layanan komputasi awan dan pusat data. Lebih banyak perusahaan akan ditambahkan ke dalam daftar karena jenis produk digital baru dapat memberikan manfaat dalam mendukung bisnis dan konsumen lokal, kata menteri.
Berdasarkan hal ini, CSA dapat menerbitkan atau menyetujui standar perilaku dan praktik yang harus dimiliki oleh penyedia layanan digital dasar. Penyedia layanan ini juga harus melaporkan setiap insiden keamanan siber yang menyebabkan gangguan atau kerusakan pada operasi mereka di Singapura atau yang berdampak signifikan pada bisnis mereka.
