Singapur'un e-devlet sistemlerindeki aksaklıkların nasıl yönetilmesi gerektiğini açıklayan ulusal güvenlik kurumu başkanı David Koh, siber güvenlik duruşunun kullanılabilirlik, maliyet ve güvenliği dengelemeyi içerdiğini söylüyor.
Teknolojiyi erken benimseyenlerden biri olan Singapur'un kamu sektörü, pekala bu risklere karşı duyarlı olabilir. eski sistemlerin doğasında olan güvenlik açıkları vardır ancak bu, ülkenin e-devlet sistemlerinin bir güvenlik açığına ihtiyaç duyduğu anlamına gelmez. komple revizyon.
Asya ile ilgili son haberler
- Hindistan ekonomik zararına 'sömürge karşıtı': Marc Andreessen Twitter'da tutarsız sözler söyledi
- LG Pay, MWC'ye katılamayacak: Rapor
- Singtel net karını 16 milyon SG$ düşürdü
- Facebook Hindistan'daki Free Basics projesini geri çekti
- Samsung, Güney Kore'de kamu güvenliği ağı sağlayacak
Siber Güvenlik Ajansı (CSA) genel müdürü David Koh, siber güvenlik söz konusu olduğunda yönetilmesi gereken üç temel husus olduğunu açıkladı: kullanılabilirlik, maliyet ve güvenlik. İkiye odaklanmak kaçınılmaz olarak üçüncüsünden taviz verilmesi gerektiği anlamına geliyordu ve son beş yıla kadar genel fikir birliği, kullanılabilirlik ve maliyetin ana etkenler olması gerektiği yönünde görünüyordu.
"İnsanlar güvenliği feda etmeye hazırdı" dedi ve örneğin iki faktörlü kimlik doğrulamanın (2FA) yıllardır mevcut olduğunu ancak büyük ölçüde kullanılmadığını belirtti. "Güvenlik için en iyi uygulamalar 2FA'yı savunmak oldu, ancak bunu uygulama konusunda isteksizlik var... Eğer güvenlik profesyonelleri bunu beş yıl önce uygulamaya çalışsaydı, sanırım büyük bir tepki olurdu. Neden aşırı tepki verdiğimizi, insanları rahatsız ettiğimizi ve maliyet kattığımızı soran sokaktaki adamdan."
Bir aldı Haziran 2002 olayıDBS Bank'ın çevrimiçi bankacılık sisteminin saldırıya uğradığı ve fonların çalındığı sırada, halkın nihayet daha sağlam güvenlik önlemlerine olan ihtiyacı desteklemesi gerektiğini belirtti. 2008 yılında ada çapındaki tüm çevrimiçi bankacılık hizmetlerinde 2FA kullanımı zorunlu hale getirildi.
Bir röportajda ZDNet'e konuşan Koh, bir konuyla ilgili soruları yanıtlıyordu. SingPass'ı içeren 2014 güvenlik ihlali yaklaşık 1.560 kullanıcıyı etkiledi. Vatandaşların erişim sağlamak için kullandığı 3,3 milyondan fazla SingPass hesabı var e-devlet hizmetleri gelir vergilerinin beyan edilmesi, ulusal emeklilik fonundaki bakiyelerin kontrol edilmesi ve yeni işletmelerin kaydedilmesi dahil.
Bu yılın temmuz ayında, 2FA, SingPass oturum açma işlemine dahil edildi Finansal veya sağlık bilgileri gibi hassas verileri içeren işlemlerin yanı sıra yüksek düzeyde kimlik güvencesi gerektiren hizmetlere yönelik süreç.
Koh, bankacılık sektörüne benzer şekilde, ihlaller meydana gelmeseydi SingPass'te 2FA kullanımına yönelik daha yüksek bir fikir birliği ve desteğin olmayacağını söyledi. Öyle olsa bile, bunun eski neslin idare edemeyeceği kadar karmaşık olacağını savunan kamplar olduğunu da sözlerine ekledi.
"Dolayısıyla sürekli bir eğitim olması gerekiyor ve zamanı gelince bu adımların gerekli olduğunu kabul etmemiz gerekiyor" dedi. "Güvenlik düzeyinin artırılmasından bahsedebiliriz ama bunun aynı zamanda sokaktaki halk tarafından da desteklenmesi gerekiyor. Yakın zamana kadar [daha güçlü güvenlik önlemlerine yönelik] destek, farkındalık ve takdir düzeyi mevcut değildi. Bazı şeyler değişiyor ve halk artık tehdidin farkına varıyor ve [bu değişiklikleri] desteklemeye giderek daha fazla hazırlanıyor."
Son zamanlarda yaşanan aksaklıklara da işaret ederek Merkezi İhtiyat Fonu Kurulu'nun e-hizmetlerini düşürdü Birkaç gün boyunca bunun bir güvenlik ihlalinin sonucu olmadığını, muhtemelen kötü BT proje yönetimi ve uygulamasından kaynaklandığını belirtti. Ancak kendisi, bu tür aksaklıkların nadir olmadığını ve tüm şirketlerin karşılaştığı operasyonel sorunların bir parçası olduğunu da sözlerine ekledi.
Hizmet Kesintinin 'teknik sorunlardan' kaynaklandığı belirtildi Bu, bir web sitesi yükseltmesinin ardından ortaya çıktı.
Sorduysan Singapur'un e-devlet sistemleri Koh, özellikle de tehdit ortamının çok farklı olduğu 1980'lerde kamu sektörünün süreçlerini bilgisayarlaştırmaya başlamasından bu yana, bir revizyona ihtiyaç duyduğunu belirterek şu yanıtı verdi: "Evet ve hayır."
BT'yi ilk benimseyenlerden biri olarak kamu sektöründe güvenlik açıkları potansiyeli olabileceğini kabul etti altyapı, ancak e-devlet hizmetlerinin ve daha fazla bağlantının faydaları son birkaç yılda önemliydi onlarca yıl. "Geri gitmek istemiyoruz ama aynı zamanda güvenlik de istiyoruz" dedi.
Kullanılabilirlik, maliyet ve güvenlik arasında bir denge bulma ihtiyacına bir kez daha değinerek, bunun kritikliğini söyledi. e-devletle uğraşırken bu denklemin nasıl yönetilmesi gerektiğini bir parça bilgi belirleyecek sistemler.
İleriye dönük olarak, yeni sistemler uygulandığında veya eski sistemlerin yenilenmesi gerektiğinde güvenliğin en başından itibaren önemli bir husus olacağını ekledi. Singapur İletişim ve Enformasyon Bakanı Yaacob Ibrahim'in güvenlik önlemlerinin alınması ihtiyacı hakkındaki yorumlarını yineleyerek, "Olayın ardından harekete geçemeyiz veya güvenlik eklemeye çalışamayız" dedi. Tasarım gereği güvenlik zihniyetini benimseyin.
"Bir sistem tasarlandıktan veya uygulamaya geçirildikten sonra güvenliği eklemek teknik açıdan zordur. Aynı zamanda daha maliyetlidir" diye açıkladı Koh. "Güvenliği başlangıçta entegre etmemiz daha iyi olur ve bunun uygulamada dikkate alınması gerekir güvenliği korumak için gelecekteki yükseltmeler de dahil olmak üzere sistemin yaşam döngüsü boyunca [duruş]."
"Güvenliği sonuçta e-devlet ve benzeri şeyleri mümkün kılan bir unsur olarak görüyoruz. akıllı ulus. Güvenliği ancak sistemin bir parçası olarak başarılı bir şekilde uygulayabildiğinizde tam verim alabilirsiniz. vaat ettiği faydalar var" diye konuştu ve vatandaşların hiçbir imkana sahip olmadığı bir sistemi kullanmayacağını sözlerine ekledi. kendinden emin.
Nesnelerin İnterneti ve siber terörizm başlıca endişeler
Bu yıl yalnızca nisan ayında faaliyete geçiyorCSA, Singapur'un siber güvenlik operasyonları ve işlevlerinin gözetimini merkezileştirdi ve bu alanda gelecekteki gelişmelerin sorumluluğunu üstlendi. Ajans, Başbakanlık'ın yetki alanına girmektedir ve şu anda kendi personeli de dahil olmak üzere yaklaşık 100 çalışana sahiptir. Infocomm Kalkınma Otoritesi ve İçişleri Bakanlığı gibi diğer devlet kurumlarından "miras aldığı" personelin yanı sıra İşler.
Aynı zamanda Savunma Bakanlığı Teknolojiden Sorumlu Müsteşar Yardımcısı olan Koh, IoT'ye dikkat çekti (Nesnelerin İnterneti) ve siber terörizm, ikisi arasında seçim yapılması istendiğinde başlıca endişeler olarak ortaya çıkıyor ve insan hatası.
"İnsan hatasından asla kurtulamayacağımızı düşünüyorum. Bir sistemi ne kadar iyi tasarlayıp tasarlarsak tasarlayalım, eninde sonunda, o sistem yine de en iyi niyetle, "Hata yap", diye gülümsedi ve "ekranın arkasındaki deliyi" ekonominin en zayıf halkası olarak anan bir karikatürü anlatırken gülümsedi. ağ. "Bu bir gerçek ve insanı ağdan çıkaramayız. Bu yüzden bunu elimizden geldiğince yönetmeli ve hafifletmeliyiz."
Nesnelerin İnterneti ve siber terörizm endişe vericiydi.
Koh, IoT'nin geniş bağlantısıyla saldırı yüzeyini ve ihlal potansiyelini önemli ölçüde genişlettiğini belirtti. "Bu gizli bir tehdittir ve istismar edilmesi kötü aktörlere bağlıdır" diyerek bunun daha sonra siber terörizmin potansiyel yayılmasına yol açtığını da sözlerine ekledi.
Kötü niyetli bilgisayar korsanlarının kritik sistemlere sızmaları durumunda gerçek fiziksel hasara neden olabileceklerini belirtti. enerji santralleri ve ulaşım ağları gibi potansiyel olarak kayıplarla sonuçlanabilecek kazalara neden olabilir. hayatları.
IoT'nin getirdiği riskleri azaltmak için, yalnızca gerekli olan bağlantı noktalarının ve bağlantıların varsayılan olarak etkinleştirileceği şekilde "işletim normlarının" ortaya çıkabileceğini ve gelişebileceğini öne sürdü. Koh, diğerlerinin hepsinin kapalı olacağını, dolayısıyla buzdolabı veya araba gibi cihazların yalnızca tasarlandığı işi yapmak için sınırlı işlevlere sahip olacağını, başka hiçbir şeye sahip olmayacağını söyledi.
"Yani başlangıçtan ve tasarımdan itibaren yalnızca temel işlevler etkinleştirildi ve diğerleri kilitlendi. Bu saldırı yüzeyini azaltacaktır" dedi.
Singapur'un genel nüfusunun ve işletmelerin kişisel sorumluluk üstlenmeye başlaması ve siber güvenlik refahını korumak için oynayacakları bir rol olduğunun farkına varmaları gerektiğini ekledi.
"İnsanların siber güvenliğin ana akım olduğunun ve ana akım hayatımızın bir parçası olduğunun farkına varması gerekiyor. Eğer hepimiz üzerimize düşeni yaparsak, Singapur'un siber ortamının genel sürü bağışıklığını artırma konusunda uzun bir yol kat etmiş olacağız, bunun yerine bunun başkasının sorunu olduğunu düşünmek gibi kötü bir alışkanlığımız olacak" dedi. "Bu bizim sorunumuz ve daha aktif bir rol oynamamız gerekiyor."
Ayrıca, Asean'dakiler de dahil olmak üzere ülkeler arasında savaşla mücadelede daha fazla işbirliği yapılması gerektiğinin altını çizdi. siber terörizm ve siber güvenlik tehditleri.