תקדים עולמי: חוק ביטחון הסייבר עבר בסינגפור

הפרלמנט של סינגפור העביר השבוע את חוק ביטחון הסייבר, לאחר חודשים של שרטוט עקרונותיו וקבלת משוב מהציבור. משמעות הדבר היא שלסינגפור יהיה מעתה נציב לנושאי האבטחה הקיברנטית, שמוסמך לגשת למידע סודי של ארגונים מקומיים ואף להחרים מהם מחשבים על מנת לחקור חשד למתקפות סייבר. ברחבי העולם יש אמנם רגולציות שונות שנוגעות לאיומי סייבר, אבל סינגפור היא המדינה הראשונה שמעבירה חוק מקיף שכזה.

האסטרטגיה הכוללת של סינגפור בתחום, להגדרתה, מתייחסת להגנה על נתונים, לתשתיות מידע קריטיות ולחקירת איומים ושותפויות בינלאומיות כאל תחומים שנמצאים בחזית סדר היום של המדינה, וחוק הסייבר מהווה חלק מאסטרטגיה זו.

לפי לשון החוק הוא מוגדר ביסודו כ-"חוק לדרישה או לאישור נקיטה באמצעים כדי למנוע, לנהל ולהגיב לאיומי ביטחון סייבר ולאירועים, להסדיר (גופים – ג"פ) בעלי תשתית מידע קריטי, להסדיר את ספקיות שירותי אבטחת הסייבר ועניינים הקשורים אליהן, וכן לבצע תיקונים שנובעים כתוצאה מאירועי סייבר או כאלה שקשורים לחוקים כתובים אחרים".

כפי שנוסח והוצג, מטרת החוק המרכזית היא חיזוק החוסן וההגנה מפני סיכוני סייבר בענפי התשתית הקריטיים של סינגפור: תקשורת מידע; מים; בריאות; בנקאות ופיננסים; שירותי ביטחון ושירותי חירום; תעופה; תחבורה יבשתית; התחום הימי; הממשל; והמדיה.

בין שאר סעיפיו קובע החוק שיש למנות נציב ולתת לספקיות התשתיות הקריטיות (CII) אחריות רבה יותר על נושא האבטחה.

חקיקה המאפשרת למדינה לגשת כמעט לכל מידע

בישיבת הפרלמנט שקדמה להצבעה על החוק, שנמשכה שלוש שעות, הסביר השר הסינגפורי לענייני תקשורת ומידע, ד"ר יעקב איברהים, את הצעת החוק בפירוט, והרחיב אודות כמה מהנושאים שהיא מביאה אל השולחן.

לדבריו, הנציב ועוזר הנציב לנושא ביטחון הסייבר במדינה, שימונו כחלק מהחוק, יפקחו על אבטחת הסייבר הסינגפורית ויהיו להם 13 תחומי אחריות, כולל ניטור איומים, מודעות לאיומים ועבודה על מנת לזהות ולפתח קודי תרגול לתשתיות מידע קריטיות. ד"ר איברהים ציין כי מנכ"ל הרשות לביטחון הסייבר של סינגפור (CSA), דיוויד קו, ימונה לתפקיד הנציב.

19 חברי פרלמנט דיברו במהלך הדיון בעד הצעת החוק, אבל גם הביעו דאגה מהסמכויות הנרחבות של הנציב החדש. נציג ממפלגת הפועלים הסינגפורית שאל מה הסף שייקבע לחקירת אירועים והאם הסמכויות הרחבות ישמשו גם בחקירת מתנגדי ממשל. חברי פרלמנט נוספים ביקשו להגן על פרטיות הצרכנים, במיוחד בכל הנוגע במידע רגיש, כגון רשומות בריאות ותיקי השקעות. ד"ר איברהים אמר בהקשר זה שסמכויות החקירה שיינתנו במסגרת החוק החדש יהיו מכוילות ומוגבלות בהתאם לאיום הספציפי.

אחד מחברי הפרלמנט הצביע על כך שהחוק החדש יטיל עומס רב מדי על ארגוני התשתיות הקריטיות, כיוון שהוא מחייב אותם לדווח על תקריות המתרחשות או משפיעות עליהם. אי ציות לחוק עלול לגרור קנסות של עד 200 אלף דולר, כליאה לשנתיים ולפעמים אפילו נקיטה בשתי הסנקציות.

ד"ר איברהים הבטיח ש-"אין בכוונתנו לפעול על פי החוק נגד בעלי ארגוני תשתיות קריטיות, כל עוד הם עומדים בהתחייבויותיהם לפי החוק".