Национальный центр кибербезопасности Ирландии отчитался об инцидентах 2023 года, Гонконг последует примеру континентального Китая, Австралии и Великобритании, а в Малайзии проводят оценку безопасности критической инфраструктуры.
Закон о кибербезопасности Малайзии требует оперативных действий
26 августа 2024 г. в Малайзии вступил в силу Закон о кибербезопасности, который привел к существенному изменению в ИТ-ландшафте. 11 сентября Национальное агентство кибербезопасности (NACSA) опубликовало полный список руководителей секторов КИИ, назначенных премьер-министром в соответствии Законом.
С 1 октября начал принимать заявки портал лицензирования поставщиков услуг кибербезопасности (CSSP). До 31 декабря для них действует льготный период подачи заявлений на получение лицензий. Любое физическое или юридическое лицо, предоставляющее, рекламирующее себя или выдающее себя за поставщика услуг кибербезопасности, должно будет получить лицензию.
Директива № 4/2024 о «Национальном базовом уровне кибербезопасности» (NCSB), вступившая в силу 1 октября 2024 года, представляет набор минимальных мер контроля кибербезопасности и передовых практик, которые должны быть реализованы на субъектах КИИ в качестве плана для обеспечения базового уровня защиты кибербезопасности. NCSB охватывает шесть основных направлений, которые делятся на 15 категорий/аспектов и далее распределяются на 33 элемента кибербезопасности.
Эта структура разработана для того, чтобы субъекты КИИ могли самостоятельно управлять многоуровневой системой кибербезопасности, структурированной таким образом с целью защиты национальной критически важной информационной инфраструктуры от широкого спектра угроз кибербезопасности.
Субъекты национальной КИИ обязаны проводить самооценку базового уровня кибербезопасности NCSB в течение 14 дней с момента присвоения статуса и отправить итоговые данные исполнительному директору NACSA и руководителям своего сектора национальной КИИ. Также, по закону, субъекты обязаны ежегодно проводить оценку рисков кибербезопасности в отношении критической инфраструктуры и ее частей в соответствии с требованиями по оценке киберрисков.
Гонконг разрабатывает Закон о кибербезопасности КИИ
В Гонконге нет установленных законом требований к кибербезопасности критической информационной инфраструктуры (КИИ). Однако по всему миру она подвержена повышенному риску атак, и последствия таких злонамеренных действий могут быть чрезвычайно серьезными, считают местные законодатели
В последние годы законодательство по защите безопасности КИИ было принято в материковом Китае, Австралии, Великобритании и ЕС. Поэтому в Гонконге предлагают принять новый документ, который носит предварительное название «Законопроект о защите критической инфраструктуры (компьютерной системы)».
Законопроект направлен на регулирование деятельности операторов критически важной инфраструктуры, которая необходима для:
Новый закон будет регулировать только компьютерные системы, связанные с нормальным функционированием КИИ, независимо от их физического местонахождения, но не затронет другие системы операторов.
Законодательство не будет применяться к услугам, управляемым правительством (водоснабжение и канализация, чрезвычайная помощь), поскольку по этим вопросам уже приняты и действуют комплексные внутренние политики и руководящие принципы безопасности информационных технологий.
Порядок категоризации объектов КИИ будет зависеть от ряда факторов, включая его значение в общественной и экономической жизни страны, его зависимости от ИТ и серьезности социальных последствий в случае инцидента, потери функциональности или утечки данных.
Для реализации нового закона предполагается создать новый офис комиссара при Бюро безопасности. Офис комиссара будет напрямую назначать операторов КИИ (CIO). В основном это будут крупные организации. Однако список CIO останется в секрете, чтобы защитить их критическую инфраструктуру от потенциальных кибератак.
В обязанности ИТ-директоров объектов КИИ войдут три типа обязательств:
Отдельная роль в законопроекте отводится регуляторам. В том случае, если сектор экономики уже полностью регулируются соответствующими органами, они смогут контролировать выполнение организационных и профилактических обязательств CIO. Так, валютное управление Гонконга будет уполномоченным органом по регулированию поставщиков услуг в банковском и финансовом секторе; а Управление по связи будет отвечать за регулирование деятельности поставщиков услуг в секторе связи и вещания.
При этом офис комиссара будет в полной мере отслеживать любой инцидент и механизмы реагирования всех ИТ-директоров для координации, расследования и предотвращения распространения инцидентов на других ИТ-директоров. Офис комиссара также выпустит Кодекс практики, который будет содержать требования к информированию, аудиту и оценке рисков безопасности компьютерных систем, планам управления безопасностью компьютерных систем и обязательствам по реагированию на инциденты.
Согласно проекту закона, CIO будут нести ответственность за безопасность своих КИИ. При этом государство не сможет получать персональные данные или деловую информацию из таких систем.
Правительство планирует представить законопроект Законодательному совету к концу 2024 г. После принятия документа в течение года будет создан офис комиссара, а закон вступит в силу в течение следующих шести месяцев.
Ирландия: крупных инцидентов не обнаружено
В 2023 году Национальный центр кибербезопасности Ирландии (NCSC) получил 5276 сообщений, 721 из которых были подтверждены как инциденты кибербезопасности. Это привело к началу 309 расследований. Такие данные содержатся в опубликованном «Ежегодном отчете о национальной кибербезопасности Ирландии за 2023 год».
Согласно отчету, подавляющее большинство инцидентов были отнесены к незначительным. Не было зарегистрировано ни одного инцидента, который можно было бы отнести к двум высшим категориям по шкале серьезности.
«Это свидетельствует об успешной профилактической работе, проводимой NCSC, которая позволяет гарантировать, что угрозы будут устранены до того, как они смогут нанести серьезный ущерб инфраструктуре штата», — говорится в отчете.
Ежегодный отчет публикуется в рамках промежуточной отчетности Национальной стратегии кибербезопасности и включает подробную информацию о работе, проделанной правительственными департаментами и агентствами по борьбе с кибератаками. Документ обобщает информацию, полученную от Департамента коммуникаций, NCSC, Национальной полиции, Сил обороны и Департамента иностранных дел Ирландии.
«Обновление данных стало прямым ответом на призывы общественности к более частой отчетности, более глубокому пониманию и прозрачности усилий правительства в сфере кибербезопасности, — заявил государственный министр Департамента окружающей среды, климата и коммуникаций Оссиан Смит. — Ежегодный отчет показывает, что правительство Ирландии привержено защите критической инфраструктуры государства, развитию навыков и потенциала гражданского общества, а также обеспечению непрерывного цифрового перехода Ирландии».
Правительство страны также объявило о создании фонда в размере 2 млн евро для предоставления грантов малым и средним предприятиям для повышения их кибербезопасности. Новая инициатива финансируется Ирландией совместно с ЕС в рамках программы Евросоюза «Цифровая Европа». Фонд предоставит компаниям финансовую поддержку для укрепления их ИТ-систем. Соответствующие требованиям малые и средние предприятия могут подать заявку на финансирование в размере 80% стоимости проекта с максимальной суммой гранта в размере 60 тыс. евро для внедрения ключевых мер кибербезопасности, повторного тестирования своих систем и получения экспертных рекомендаций по будущим улучшениям.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных