Undang-undang keselamatan siber dipinda, lindung kepentingan negara

Satu rang undang-undang telah diluluskan untuk memperluaskan kuasa pengawasan badan pemantau keselamatan siber Singapura terhadap mana-mana sistem komputer yang dianggap kritikal kepada keselamatan negara dan berisiko tinggi terhadap serangan siber.

Ini termasuk sistem sementara yang disediakan untuk menyokong pengedaran vaksin atau menganjurkan sidang puncak antarabangsa utama, kata Menteri Negara Kanan (Perhubungan dan Penerangan), Dr Janil Puthucheary di Parlimen pada 7 Mei.

Pengawasan yang diperluaskan terhadap Agensi Keselamatan Siber Singapura (CSA) dibuat kerana ancaman sering dapat dikaburkan dengan peningkatan pendigitalan.

Rang Undang-undang Keselamatan Siber (Pindaan) ini merupakan perubahan pertama kepada Akta Keselamatan Siber sejak ia berkuat kuasa pada 2018.

Dr Janil berkata akta tersebut perlu dikemas kini untuk mengikuti perkembangan teknologi dan model perniagaan, yang sering bergantung pada perkhidmatan digital penyumberluaran yang juga boleh merentas sempadan.

“Apabila akta tersebut mula-mula ditulis, adalah satu kebiasaan untuk CII (infrastruktur maklumat kritikal) dilihat sebagai sistem fizikal yang terletak di premis dan dimiliki atau dikawal sepenuhnya oleh pemilik CII.

“Tetapi kemunculan pengkomputeran awan atau cloud computing telah mencabar model ini,” kata Dr Janil.

Di bawah Akta Keselamatan Siber yang dipinda, pengendali CII di Singapura perlu mengisytiharkan sebarang gangguan keselamatan siber dan serangan yang dihadapi di premisnya atau di sepanjang rantaian bekalannya, selagi ia menjejaskan perkhidmatannya.

Undang-undang baru itu juga akan menambah satu kategori baru yang mewajibkan pertahanan digital entiti untuk diaudit oleh pihak berkuasa, termasuk universiti autonomi, yang mungkin menyimpan data sensitif atau melaksanakan fungsi penting.

Rang undang-undang itu telah diluluskan di Parlimen dengan sokongan sebulat suara daripada seluruh dewan.

Namun, terdapat juga beberapa persoalan tentang cara CSA menetapkan entiti kepentingan keselamatan siber, maklumat yang dianggap sensitif dan keupayaannya untuk menguruskan peningkatan skop laporan.

Encik Sharael Taha (GRC Pasir Ris-Punggol) bertanya tentang cabaran pelaksanaannya dan bagaimana pemerintah merancang untuk mengimbangi antara peningkatan keselamatan dan beban pematuhan ke atas perniagaan.

Anggota Parlimen Dilantik (NMP), Profesor Madya Razwana Begum juga bertanya sama ada pemerintah telah mengambil kira kapasiti penyedia perkhidmatan untuk memenuhi kewajipan baru.

Ini memandangkan ia mungkin mengambil masa untuk penyedia menyedari perubahan itu, memahami kesannya dan mengambil langkah yang perlu untuk memastikan pematuhan.

Dr Janil berkata bahawa pelaku jahat semakin mencari jalan untuk menyasarkan rantaian bekalan atau sistem bersebelahan, dan ini dapat dilihat di luar negara.

“Sekarang lebih ramai daripada kita berada dalam talian lebih lama dan dalam talian untuk tujuan yang lebih pelbagai.

“Ini bermakna kita terdedah kepada lebih banyak risiko siber, kerana setiap teknologi digital yang kita gunakan, setiap transaksi yang kita lakukan, setiap sambungan yang dibuat antara komputer, adalah laluan yang boleh diserang,” kata Dr Janil.

Encik Gerald Giam (GRC Aljunied) bertanya sama ada rang undang-undang itu memberikan CSA, atau mana-mana badan kebangsaan lain, kuasa eksplisit untuk mengambil alih operasi sistem kritikal jika pemiliknya gagal mengawal dengan secukupnya, walaupun telah mendapat arahan daripada pihak berkuasa.

Dr Janil menjelaskan bahawa CSA tidak berusaha untuk mengawal selia vendor pihak ketiga, tetapi penyedia perkhidmatan penting mesti memastikan sistem yang mereka gunakan sesuai dengan piawaian keselamatan siber yang dimandatkan oleh Singapura.

Pengendali CII dalam sektor perkhidmatan penting kekal bertanggungjawab kepada CSA untuk sebarang kesilapan, katanya.

Sektor tersebut ialah tenaga, air, perbankan dan kewangan, penjagaan kesihatan, pengangkutan (darat, maritim dan penerbangan), infokom, media, keselamatan dan perkhidmatan kecemasan, dan pemerintah.

Pemilik CII yang tidak mematuhi akan dikenakan hukuman jenayah, serta hukuman sivil, bergantung kepada kejadian, kata Dr Janil.