Władze Singapuru zaproponowały zmiany w ustawie Cyber Security Act 2018. Jak podaje The Register, uprawnienia regulatorów zajmujących się nadzorem nad cyberbezpieczeństwem zostaną rozszerzone na dostawców usług chmurowych i operatorów centrów danych.

Jednym z głównych celów zmian jest objęcie nie tylko uznawanych obiektów tzw. „infrastruktury krytycznej” (CII), ale także zapewnienie cyberbezpieczeństwa innych ważnych systemów i projektów infrastrukturalnych. Według Agencji Bezpieczeństwa Cybernetycznego Singapuru (CSA) CII obejmuje systemy dystrybucji energii, systemy dystrybucji wody, usługi bankowe i finansowe, transport lądowy, usługi rządowe itp.

Nowelizacja wprowadza definicję „usług niezbędnej infrastruktury cyfrowej”. CSA szczególnie podkreśla, że chodzi tu o usługi chmurowe, zarówno w samym Singapurze, jak i poza nim, a także centra danych w granicach państwa-miasta. Jeżeli nowelizacja zostanie przyjęta, usługi nowej kategorii będą musiały zapewniać nieprzerwane działanie i np. zapobiegać włamaniom systemów informatycznych.

Innowacje mogą dotknąć gigantów chmurowych, takich jak AWS i Google, a także operatorów centrów danych, takich jak Equinix. Jest to ważne, ponieważ zaledwie w październiku ubiegłego roku centrum danych Equinix w Singapurze doświadczyło ogromnej awarii, która doprowadziła do ogólnokrajowego chaosu finansowego i około 2,5 miliona transakcji bankowych, które nigdy nie zostały zrealizowane. Choć władze nie stwierdziły, że incydent na dużą skalę miał wpływ na zmiany, stanowił on jednak dobrą ilustrację, wyraźnie pokazując potrzebę dodatkowych regulacji niektórych sektorów biznesowych.

Organizacje objęte nowymi przepisami będą również zobowiązane do zgłaszania wszelkich cyberataków w przewidzianym prawem terminie, który według plotek jest kwestią godzin. Rozszerzone zostaną także uprawnienia szefa CSA (stanowisko to piastuje David Koh), a centra danych i dostawcy usług w chmurze będą musiały szczegółowo odpowiadać na oficjalne prośby szefa wydziału. Koh otrzymał także inne uprawnienia, tj. kwalifikowania systemów komputerowych jako obiektów krytycznej infrastruktury informatycznej, nawet tych zlokalizowanych poza Singapurem, jeżeli awarie w działaniu takich systemów mogłyby prowadzić do problemów w kraju.

Struktury i instytucje współpracujące z władzami Singapuru, które obsługują ważne lub krytyczne dane lub systemy, również można sklasyfikować jako CII. Cyberatak na nie oznaczałby w rzeczywistości atak na Singapur. Wreszcie podobne zasady będą obowiązywać przez cały rok w przypadku systemów tymczasowych, takich jak te budowane na potrzeby ważnych wydarzeń.

Zakłada się, że konstrukcje, które nie będą w stanie spełnić wymagań władz, zostaną ukarane grzywnami i innymi karami. Zmiany są uszczegóławiane po konsultacjach z uczestnikami rynku infrastruktury cyfrowej – stałe i tymczasowe. Konsultacje potrwają do 15 stycznia 2024 r. Jednocześnie rynek data center w Singapurze jest już obciążony innymi regulacjami do tego stopnia, że firmy narzekają na straconą szansę na uczynienie z kraju światowego lidera.