Leverantörer som erbjuder två kategorier av cybersäkerhetstjänster i Singapore måste nu ansöka om en licens för att fortsätta tillhandahålla sådana tjänster. De har upp till sex månader på sig att göra det eller kommer att behöva sluta tillhandahålla sådana tjänster om de inte vill riskera att få fängelse eller böter.
Närmare bestämt kommer företag som tillhandahåller penetrationstestning samt övervakningstjänster för managed security operations center (SOC) att behöva en licens för att erbjuda dessa tjänster i Singapore. Dessa inkluderar företag och individer som är direkt engagerade i sådana tjänster, tredjepartsleverantörer som stödjer dessa företag och återförsäljare av licensierade cybersäkerhetstjänster, enligt Cyber Security Authority (CSA) Singapore.
Branschtillsynsmyndigheten sa att licensramverket, som gäller från och med den 11 april, var parkerat under landets Cybersecurity Act och syftade till att bättre skydda konsumenternas intressen. Det tjänade också till att förbättra tjänsteleverantörernas standarder och ställning över tiden.
CSA tillade att de två tjänstekategorierna prioriterades för att kickstarta licenssystemet eftersom leverantörer av dessa tjänster hade betydande tillgång till sina kunders IKT-system och känsliga data.
Skulle sådan åtkomst missbrukas kan kundens verksamhet störas, konstaterade tillsynsmyndigheten.
Den tillade att eftersom dessa tjänster var allmänt tillgängliga och antagna, hade de också potential att orsaka betydande inverkan på det bredare cybersäkerhetslandskapet.
Befintliga leverantörer som för närvarande är engagerade i tillhandahållandet av ena eller båda tjänstekategorierna hade fram till den 11 oktober 2022 på sig att ansöka om en licens. De som inte gjorde det i tid måste sluta tillhandahålla tjänsten tills en licens erhållits.
ZDNet frågade om individer som var en del av globala gemenskaper som deltog i buggar skulle behöva ha en licens att göra det i Singapore. En talesperson för CSA sa att white hat eller etiska hackare involverade i sådana initiativ syftade till att avslöja sårbarheter i system, som sedan rapporterades till organisationen i bug-bounty-programmet för åtgärdande.
Företag som organiserade bug-bounty-program och de individuella white hat-hackare som är inblandade i sådana initiativ uteslöts från licensramverket, såvida de inte också var i branschen för att tillhandahålla penetrationstestning eller hanterade SOC-tjänster, sade talespersonen.
“Bug bounty-program kompletterar de konventionella metoderna för sårbarhetsbedömning och penetrationstestning, vilket gör det möjligt för deltagaren som genomgår programmet att jämföra sitt försvar mot det globala och lokala samhället av forskare och vita hattar,” sa CSA till ZDNet.
Tjänsteleverantörer som måste ha licenser enligt det nya ramverket bör lämna in sin ansökan om en sådan inom sex månader. De skulle få fortsätta att leverera den licensierade tjänsten tills beslut om ansökan fattats.
Varje person som tillhandahåller de licensierade tjänsterna utan licens efter den 11 oktober 2022, riskerar böter som inte överstiger SG$50 000 ($36,673) eller fängelse på upp till två år, eller båda.
Individer skulle behöva betala SG$500 för sin licens, medan företag skulle behöva betala SG$1,000. Varje licens skulle vara giltig i två år.
CSA sa att det skulle finnas en engångsavgift på 50 % för ansökningar som lämnats in inom det första året, före den 11 april 2023.
Ett regleringskontor för cybersäkerhetstjänster hade inrättats för att administrera licensramverket och underlätta kommunikationen mellan branschen och en bredare allmänhet i alla licensrelaterade frågor.
Dess ansvar inkluderar att upprätthålla och hantera licensprocesser och dela resurser på licensierade cybersäkerhetstjänster med allmänheten, som att tillhandahålla listan över licenstagare.
CSA kommenterar andra cybersäkerhetstjänster som kan bli licensierade i framtiden och sa att de skulle “fortsätta att övervaka internationella och branschtrender” samt engagera branschen, där det är nödvändigt, för att bedöma om nya tjänstekategorier bör inkluderas.
Lanseringen av licensramverket kommer efter en fyra veckors samrådsperiod som avslutades i oktober förra året.
CSA sa att de fick 29 svar från både lokala och internationella marknadsaktörer såväl som branschorganisationer och medlemmar av allmänheten.
Information som krävs för att bedöma om de sökande är “lämpade och lämpliga”
En sådan återkoppling gällde information som krävs, på begäran, för att underlätta tillsynsmyndighetens utredningar av frågor som till exempel överträdelser av licenstagare eller relaterade till licenstagarens fortsatta behörighet. Det fanns förslag om att språket i de föreslagna licensvillkoren skulle skärpas, så att förfrågningarna inte var alltför generiska, och att det skulle bli mer klarhet om vilka typer av information som kan begäras.
CSA sa att de hade ändrat språket i licensvillkoren för att minska osäkerheten för licenstagare och att begäranden om sådan information skulle begränsas till vad som var nödvändigt för utredningens syfte.
Ombedd att ge exempel på information som efterfrågades av licenssökande, sa CSA-talesmannen till ZDNet att dessa inkluderade den sökandes kvalifikationer och erfarenhet.
Dessutom skulle det krävas information som är “relevant” för licenstjänstemannen att överväga om sökanden var “lämplig och vederbörlig”, t.ex. om sökanden var dömd i Singapore eller någon annanstans för brott som involverade bedrägeri, oärlighet eller moraliskt förvirring. förklarade talespersonen.
När det gäller huruvida sökande skulle tillfrågas om sina nationaliteter eller affärsförbindelser till nationer som för närvarande omfattas av relevanta sanktioner, sa CSA-talesmannen att sökande skulle bli ombedd att uppge sin nationalitet som en del av licensansökningsprocessen. Samma krav skulle dock gälla för alla tjänsteleverantörer så länge de tillhandahåller licensierade tjänster inom penetrationstestning eller hanterade SOC-övervakningstjänster till kunder i Singapore.
“Ytterligare information som krävs för att licensieringsmannen ska kunna göra en bedömning av om den sökande är lämplig och lämplig kan också krävas”, sa talespersonen.
