As autoridades de Singapura propuseram alterações à Lei de Segurança Cibernética de 2018. De acordo com o The Register, os poderes dos reguladores envolvidos na supervisão da segurança cibernética serão alargados aos prestadores de serviços em nuvem e aos operadores de centros de dados.
Um dos principais objetivos das mudanças é abranger não apenas objetos reconhecidos dos chamados. “infraestrutura crítica” (CII), mas também garantir a segurança cibernética de outros sistemas importantes e projetos de infraestrutura. De acordo com a Agência de Segurança Cibernética de Singapura (CSA), o CII inclui sistemas de distribuição de energia, sistemas de distribuição de água, serviços bancários e financeiros, transporte terrestre, serviços governamentais, etc.
A alteração introduz uma definição de “serviços essenciais de infraestrutura digital”. A CSA enfatiza especificamente que isto inclui serviços em nuvem, tanto na própria Singapura como fora dela, bem como centros de dados dentro das fronteiras da cidade-estado. Se a alteração for aprovada, os serviços da nova categoria terão de garantir o funcionamento ininterrupto e, por exemplo, evitar o comprometimento dos sistemas de informação.
As inovações podem afetar gigantes da nuvem como AWS e Google, bem como operadoras de data centers como a Equinix. Isto é importante porque, no passado mês de Outubro, o data center da Equinix em Singapura sofreu uma interrupção massiva, levando ao caos financeiro a nível nacional e a cerca de 2,5 milhões de transacções bancárias que nunca foram concluídas. Embora as autoridades não tenham afirmado que o incidente em grande escala influenciou as alterações, serviu, no entanto, como uma boa ilustração, demonstrando claramente a necessidade de regulamentação adicional de alguns sectores empresariais.
As organizações abrangidas pelas novas regras também serão obrigadas a reportar quaisquer ataques cibernéticos dentro do prazo legal, que, segundo rumores, é uma questão de horas. Os poderes do chefe do CSA também serão ampliados (este cargo é ocupado por David Koh), e os data centers e provedores de nuvem terão que responder detalhadamente às solicitações oficiais do chefe do departamento. Koh também recebeu outros poderes – para classificar os sistemas de computador como instalações críticas de infraestrutura de informação, mesmo aqueles localizados fora de Cingapura, se falhas na operação de tais sistemas pudessem levar a problemas no país.
Estruturas e instituições que trabalham em conjunto com as autoridades de Singapura e que operam dados ou sistemas importantes ou críticos também podem ser classificadas como CII. Um ataque cibernético contra eles significaria efetivamente um ataque a Singapura. Por último, regras semelhantes serão aplicadas ao longo do ano para sistemas temporários, como os construídos para eventos de grande visibilidade.
Presume-se que as estruturas que não conseguirem cumprir as exigências das autoridades enfrentarão multas e outras penalidades. As alterações são detalhadas após consultas aos participantes do mercado de infraestrutura digital – permanentes e temporárias. As consultas durarão até 15 de janeiro de 2024. Ao mesmo tempo, o mercado de data centers em Singapura já está sobrecarregado com outras regulamentações, a ponto de as empresas reclamarem da oportunidade perdida de tornar o país um líder mundial.