Los proveedores que ofrecen dos categorías de servicios de ciberseguridad en Singapur ahora deben solicitar una licencia para continuar brindando dichos servicios. Tienen hasta seis meses para hacerlo o tendrán que cesar en la prestación de tales servicios, si no desean enfrentar la posibilidad de una pena de cárcel o multa.
Específicamente, las empresas que brindan pruebas de penetración y servicios de monitoreo del centro de operaciones de seguridad administrado (SOC) necesitarán una licencia para ofrecer estos servicios en Singapur. Estos incluyen empresas e individuos que participan directamente en dichos servicios, proveedores externos que respaldan a estas empresas y revendedores de los servicios de ciberseguridad con licencia, según la Autoridad de Seguridad Cibernética (CSA) de Singapur.
El regulador de la industria dijo que el marco de licencias, vigente a partir del 11 de abril, estaba estacionado bajo la Ley de Ciberseguridad del país y tenía como objetivo proteger mejor los intereses de los consumidores. También sirvió para mejorar los estándares y la reputación de los proveedores de servicios a lo largo del tiempo.
CSA agregó que las dos categorías de servicios se priorizaron para impulsar el régimen de licencias porque los proveedores de estos servicios tenían un acceso significativo a los sistemas de TIC y datos confidenciales de sus clientes.
Si se abusa de dicho acceso, las operaciones del cliente podrían verse interrumpidas, señaló el regulador.
Agregó que debido a que estos servicios estaban ampliamente disponibles y adoptados, también tenían el potencial de causar un impacto significativo en el panorama más amplio de la seguridad cibernética.
Los proveedores existentes que actualmente se dedican a la prestación de una o ambas categorías de servicios tenían hasta el 11 de octubre de 2022 para solicitar una licencia. Aquellos que no lo hicieran a tiempo tendrían que dejar de prestar el servicio hasta obtener una licencia.
MarketingyPublicidad.es preguntó si las personas que formaban parte de las comunidades globales que participaron en las recompensas por errores deberían tener una licencia para hacerlo en Singapur. Un portavoz de CSA dijo que los piratas informáticos éticos o de sombrero blanco involucrados en tales iniciativas tenían como objetivo descubrir vulnerabilidades en los sistemas, que luego se informaron a la organización en el programa de recompensas por errores para su reparación.
Las empresas que organizaron programas de recompensas por errores y los piratas informáticos de sombrero blanco individuales involucrados en tales iniciativas fueron excluidos del marco de licencia, a menos que también estuvieran en el negocio de proporcionar pruebas de penetración o servicios SOC administrados, dijo el portavoz.
«Los programas de recompensas por errores complementan los métodos convencionales de evaluación de vulnerabilidades y pruebas de penetración, lo que permite que el participante que se somete al programa compare sus defensas contra la comunidad global y local de investigadores y sombreros blancos», dijo CSA a MarketingyPublicidad.es.
Los proveedores de servicios que deben tener licencias según el nuevo marco deben presentar su solicitud dentro de los seis meses. Se les permitiría continuar brindando el servicio sujeto a licencia hasta que se tome una decisión sobre la solicitud.
Cualquier persona que haya proporcionado los servicios sujetos a licencia sin una licencia después del 11 de octubre de 2022 se enfrentará a una multa que no supere los 50 000 dólares singapurenses (36 673 dólares estadounidenses) o una pena de cárcel de hasta dos años, o ambas.
Las personas tendrían que pagar 500 dólares singapurenses por su licencia, mientras que las empresas tendrían que desembolsar 1.000 dólares singapurenses. Cada licencia tendría una validez de dos años.
CSA dijo que habría una exención de tarifa única del 50% para las solicitudes presentadas dentro del primer año, antes del 11 de abril de 2023.
Se había establecido una Oficina de Regulación de Servicios de Ciberseguridad para administrar el marco de concesión de licencias y facilitar las comunicaciones entre la industria y el público en general sobre todas las cuestiones relacionadas con la concesión de licencias.
Sus responsabilidades incluyen hacer cumplir y gestionar los procesos de concesión de licencias y compartir recursos sobre servicios de ciberseguridad sujetos a licencia con el público, como proporcionar la lista de licenciatarios.
Al comentar sobre otros servicios de seguridad cibernética que podrían ser objeto de licencia en el futuro, CSA dijo que «continuará monitoreando las tendencias internacionales y de la industria» e involucrará a la industria, cuando sea necesario, para evaluar si se deben incluir nuevas categorías de servicios.
El lanzamiento del marco de licencias se produce después de un período de consulta de cuatro semanas que finalizó en octubre pasado.
CSA dijo que recibió 29 respuestas de actores del mercado local e internacional, así como de asociaciones de la industria y miembros del público.
Información necesaria para evaluar si los solicitantes son «aptos y adecuados»
Uno de esos comentarios se refería a la información requerida, previa solicitud, para facilitar las investigaciones del regulador sobre asuntos tales como infracciones por parte de los licenciatarios o relacionados con la elegibilidad continua del licenciatario. Hubo sugerencias de que el lenguaje de las condiciones de la licencia propuesta se hiciera más estricto, para que las solicitudes no fueran demasiado genéricas y para que hubiera más claridad sobre los tipos de información que se podrían solicitar.
CSA dijo que había revisado el lenguaje de las condiciones de la licencia para reducir la incertidumbre de los licenciatarios y que las solicitudes de dicha información se limitarían a lo que fuera necesario para el propósito de la investigación.
Cuando se le pidió que proporcionara ejemplos de la información que se les pedía a los solicitantes de licencias, el portavoz de CSA le dijo a MarketingyPublicidad.es que estos incluían la calificación y la experiencia del solicitante.
Además, se requeriría información «relevante» para que el oficial de licencias considere si el solicitante era «apto y adecuado», por ejemplo, si el solicitante tuvo alguna condena en Singapur o en otro lugar por un delito relacionado con fraude, deshonestidad o bajeza moral, la explicó el vocero.
Sobre si se les preguntará a los solicitantes sobre sus nacionalidades o vínculos comerciales con naciones actualmente bajo sanciones relevantes, el portavoz de CSA dijo que se les pedirá a los solicitantes que proporcionen su nacionalidad como parte del proceso de solicitud de licencia. Sin embargo, se aplicarían los mismos requisitos a todos los proveedores de servicios, siempre y cuando proporcionen servicios sujetos a licencia en pruebas de penetración o servicios de monitoreo de SOC administrados a clientes en Singapur.
«También se puede requerir información adicional necesaria para que el oficial de licencias haga una evaluación sobre si el solicitante es apto y apropiado», dijo el portavoz.
