TL;DR

Está a gerir uma infraestrutura de informação crítica (CII) em Singapura? O Código de Práticas de Cibersegurança (CCoP) não é uma sugestão - é uma lei ao abrigo da Lei da Cibersegurança.

Obriga a controlos de segurança mínimos em matéria de governação, deteção, resposta, segurança OT e muito mais.

Se não cumprir um requisito, está sujeito a penalizações. Este é o manual de Singapura para bloquear os serviços essenciais - não são permitidos atalhos.

Resumo do Scorecard do Código de Práticas de Cibersegurança (CCoP) de Singapura:

• Esforço do programador: Moderado (requer a implementação de controlos específicos relacionados com o SDLC seguro, o controlo do acesso, a segurança dos dados, a gestão das vulnerabilidades, o apoio às auditorias dos sistemas CII).
• Custo das ferramentas: Moderado a elevado (requer ferramentas para gestão de vulnerabilidades, registo/SIEM, controlo de acesso (PAM), encriptação, potencialmente ferramentas específicas de segurança OT).
• Impacto no mercado: Crítico (obrigatório para os proprietários de ICI designados em Singapura; uma falha afecta a capacidade de funcionamento das infra-estruturas críticas).
• Flexibilidade: Moderada (Especifica os requisitos mínimos, mas com base em normas estabelecidas, permitindo alguma flexibilidade na implementação com base no risco).
• Intensidade da auditoria: Elevada (exige auditorias regulares à cibersegurança por auditores aprovados para verificar a conformidade com a CCoP e a Lei da Cibersegurança).

O que é o Código de Práticas de Cibersegurança (CCoP) de Singapura?

O Código de Práticas de Cibersegurança de Singapura (CCoP) para Infraestruturas de Informação Críticas (CII) é um conjunto de normas mínimas juridicamente vinculativas emitidas pelo Comissário de Cibersegurança ao abrigo da Lei de Cibersegurança de Singapura de 2018. Publicado pela primeira vez em 2018 e atualizado para o CCoP 2.0 em 2022 (em vigor a partir de julho de 2023 após um período de carência), descreve as medidas de cibersegurança que os proprietários designados da CII devem implementar para proteger seus sistemas.

As infra-estruturas críticas de informação (CII) referem-se a sistemas informáticos essenciais para a prestação contínua de serviços essenciais em Singapura (por exemplo, energia, água, bancos, cuidados de saúde, transportes, infocomunicações, governo, meios de comunicação social). Os proprietários dos sistemas de ICI designados são legalmente obrigados a cumprir a CCoP.

A CCoP 2.0 está estruturada em torno de domínios-chave que reflectem um programa abrangente de cibersegurança:

• Governação: Estabelecer a liderança, as funções, as responsabilidades e o quadro de gestão do risco da cibersegurança.
• Identificação: Gestão de activos, avaliação de riscos, compreensão da postura de cibersegurança.
• Proteção: Implementação de salvaguardas como controlo de acesso, segurança de dados (incluindo encriptação e gestão de chaves), segurança de rede, gestão de vulnerabilidades, configurações seguras, segurança física e gestão de riscos da cadeia de fornecimento. Inclui requisitos específicos para a Gestão do Acesso Privilegiado (PAM).
• Deteção: Implementação de capacidades de monitorização para detetar ameaças e incidentes de cibersegurança (por exemplo, SIEM, IDS/IPS).
• Resposta e recuperação: Desenvolvimento de planos de resposta a incidentes e planos de continuidade de negócios/recuperação de desastres.
• Ciber-resiliência: Medidas para garantir que os sistemas podem resistir e recuperar de ataques.
• Formação e sensibilização em matéria de cibersegurança: Educar o pessoal.
• Segurança da tecnologia operacional (OT): Considerações específicas para sistemas de controlo industrial e ambientes OT, introduzidas significativamente na CCoP 2.0.

A CCoP baseia-se em grande medida nas normas internacionais e nas melhores práticas (como o NIST CSF e a ISO 27001), mas adapta-as a requisitos específicos e obrigatórios para o contexto da ICI de Singapura.

Porque é que é importante?

A CCoP é crucial por várias razões em Singapura:

• Requisito legal: É emitido ao abrigo da Lei da Cibersegurança de 2018, tornando a conformidade obrigatória para todos os proprietários de CII designados.
• Proteção dos serviços essenciais: Visa salvaguardar os serviços críticos (energia, água, bancos, etc.) de que Singapura depende de ataques cibernéticos potencialmente debilitantes.
• Segurança nacional: O reforço da segurança das ICI é uma questão de segurança nacional.
• Aumenta a base de referência da cibersegurança: Estabelece uma norma mínima coerente e elevada de cibersegurança em todos os sectores críticos.
• Aborda as ameaças em evolução: A CCoP 2.0 incorpora especificamente as lições aprendidas e aborda as ameaças mais recentes, incluindo tácticas, técnicas e procedimentos sofisticados (TTP), riscos da cadeia de abastecimento e preocupações de segurança OT.
• Impõe a responsabilidade: Atribui responsabilidades claras aos proprietários de ICI para aplicarem e manterem medidas de cibersegurança, sujeitas a supervisão regulamentar e a auditorias.

Para as organizações que operam as ICI em Singapura, a conformidade com a CCoP é fundamental para a sua licença de funcionamento e para a sua contribuição para a resiliência nacional.

O que e como implementar (técnica e política)

A implementação da CCoP implica o estabelecimento de uma governação sólida em matéria de cibersegurança e a implementação de controlos técnicos e processuais específicos nos domínios definidos:

1. Governação e gestão de riscos:
   
   • Estabelecer funções, responsabilidades e compromissos de gestão claros em matéria de cibersegurança.
   • Aplicar um quadro de gestão dos riscos para identificar, avaliar e tratar os riscos de cibersegurança específicos da ICI.
2. Medidas de proteção:
   
   • Controlo do acesso: Implementar uma autenticação forte (MFA), princípios de privilégio mínimo, gestão de sessões e soluções robustas de gestão de acesso privilegiado (PAM) para controlar o acesso aos sistemas e dados das ICI.
   • Segurança de dados: Proteger os dados sensíveis utilizando a encriptação (em repouso e em trânsito) e uma gestão segura das chaves criptográficas. Implementar medidas de prevenção de perda de dados.
   • Segurança de rede: Segmentar redes, implementar firewalls, IDS/IPS e configurações de rede seguras.
   • Gestão de vulnerabilidades: Implementar processos e ferramentas (scanners) para identificar e corrigir vulnerabilidades em sistemas e aplicações dentro de prazos definidos. As práticas de desenvolvimento de software seguro são essenciais.
   • Configuração segura: Proteger os sistemas, desativar serviços/portas desnecessários, gerir as configurações de forma segura.
   • Risco da cadeia de abastecimento: Avaliar e gerir os riscos de cibersegurança associados a fornecedores e prestadores de serviços terceiros.
3. Deteção:
   
   • Implementar sistemas de gestão de informações e eventos de segurança (SIEM) e outras ferramentas de monitorização para detetar anomalias e potenciais incidentes de segurança em tempo real. Assegurar o registo adequado.
4. Resposta e recuperação:
   
   • Desenvolver, manter e testar regularmente os planos de resposta a incidentes (IRP) e os planos de continuidade das actividades/recuperação de desastres (BC/DR). Assegurar que são efectuadas e testadas cópias de segurança seguras.
5. Segurança OT (se aplicável):
   
   • Implementar medidas de segurança específicas adaptadas aos ambientes de tecnologia operacional, abordando os riscos exclusivos dos sistemas de controlo industrial.
6. Formação e sensibilização:
   
   • Realizar regularmente acções de formação em matéria de cibersegurança para todo o pessoal relevante.
7. Auditorias:
   
   • Contratar auditores aprovados pela CSA para efetuar auditorias regulares à cibersegurança (pelo menos de dois em dois anos), a fim de verificar a conformidade com o PCC e a lei.

A implementação requer uma abordagem holística que combine tecnologia (PAM, SIEM, encriptação, scanners de vulnerabilidade), processos bem definidos, políticas claras, formação contínua e auditorias regulares. Soluções como a CipherTrust da Thales (para segurança de dados/gestão de chaves) e a BeyondTrust (para PAM) são frequentemente utilizadas para cumprir requisitos específicos de CCoP.

Erros comuns a evitar

Ao implementar a CCoP, as organizações podem deparar-se com estas questões:

1. Governação insuficiente/Foco no risco: Tratar a CCoP como puramente técnica sem estabelecer uma governação forte, processos de gestão do risco e supervisão da gestão.
2. Identificação inadequada dos activos: Não identificação exacta de todos os componentes e fluxos de dados relacionados com as ICI designadas, o que conduz a uma proteção incompleta.
3. Controlos de acesso fracos: Particularmente em relação ao acesso privilegiado, não implementando soluções PAM robustas ou aplicando estritamente o privilégio mínimo.
4. Ignorar a segurança OT: Para as organizações com ambientes OT, não abordar os requisitos e riscos específicos descritos na CCoP 2.0 para estes sistemas.
5. Má gestão das vulnerabilidades: Não dispor de processos ou ferramentas eficazes para identificar e corrigir vulnerabilidades dentro dos prazos exigidos.
6. Falta de monitorização/deteção integrada: Implementação de controlos de segurança, mas sem o registo e monitorização centralizados (SIEM) necessários para detetar eficazmente os incidentes.
7. Planos de resposta/recuperação não testados: Ter planos IRP e BC/DR no papel mas não os testar regularmente, tornando-os ineficazes numa crise real.
8. Documentação insuficiente: Não documentar adequadamente as políticas, os procedimentos, as avaliações de risco, as implementações de controlo e as provas de auditoria, conforme exigido para a verificação da conformidade.

O que os auditores podem perguntar (Developer Focus)

Os auditores que avaliam a conformidade com a CCoP dos sistemas de ICI examinarão os controlos relevantes para o desenvolvimento de software e a segurança das aplicações:

• (Proteção - Gestão de vulnerabilidades) "Que processos estão em vigor para identificar e corrigir vulnerabilidades em aplicações específicas e componentes de software de terceiros utilizados na ICI?" (Apresentar resultados SAST/SCA/DAST, registos de aplicação de correcções)
• (Proteção - Controlo de acesso) "Como é controlado o acesso dos programadores que trabalham em sistemas ou aplicações das ICI? Como são registadas e monitorizadas as actividades de desenvolvimento privilegiadas?"
• (Proteção - Segurança dos dados) "Como são tratados e protegidos os dados sensíveis (por exemplo, encriptados) nas aplicações que suportam as ICI?"
• (Proteção - Configuração segura) "Como é que garante que as configurações seguras são aplicadas às aplicações e à infraestrutura de suporte?"
• (Deteção) "Como é que o registo de aplicações contribui para as capacidades globais de monitorização e deteção das ICI?"
• (Resposta/Recuperação) "Como é que as dependências das aplicações são consideradas nos planos de continuidade das actividades e de recuperação de desastres do ICI?"

Os auditores esperam provas de práticas de desenvolvimento seguras, de uma gestão sólida das vulnerabilidades, de uma configuração segura, de controlos de acesso adequados e de um registo eficaz integrado no ambiente das ICI.

Ganhos rápidos para as equipas de desenvolvimento

As equipas de desenvolvimento que apoiam as ICI podem contribuir para a conformidade com a CCoP:

1. Integrar o SAST/SCA: Incorporar o código automatizado e a verificação de dependências nos pipelines de CI/CD para aplicações relacionadas com a ICI.
2. Dar prioridade à correção das vulnerabilidades: Concentrar-se em corrigir as vulnerabilidades críticas/elevadas identificadas dentro de prazos compatíveis com as expectativas da CCoP.
3. Melhorar o registo de aplicações: Assegurar que as aplicações produzem registos significativos para eventos de segurança e integrá-los com os sistemas SIEM centrais.
4. Desenvolvimento seguro de API: Implementar autenticação forte, autorização e validação de entrada para APIs que interagem com sistemas CII.
5. Seguir padrões de codificação segura: Cumprir as diretrizes de codificação segura reconhecidas (por exemplo, OWASP) para minimizar as vulnerabilidades comuns.
6. Minimizar o tratamento de dados: Conceber aplicações para tratar o mínimo de dados sensíveis necessários para a sua função.

Ignorar isto e... (Consequências do incumprimento)

O incumprimento, por parte do proprietário de uma ICI, da CCoP ou de outros requisitos previstos na Lei da Cibersegurança de Singapura de 2018 pode ter consequências significativas aplicadas pela CSA:

• Sanções financeiras: A lei permite a aplicação de multas por incumprimento, embora os montantes específicos diretamente ligados à CCoP possam depender da natureza da infração e das diretivas emitidas. As alterações em 2024 poderão aumentar os quadros de sanções.
• Instruções do Comissário: O Comissário para a Cibersegurança pode emitir instruções que exijam que o proprietário das ICI adopte medidas específicas para as proteger ou para corrigir a não conformidade. O não cumprimento das instruções constitui uma infração.
• Intervenção direta da CSA: Em casos graves em que um incidente represente uma ameaça significativa, a CSA tem poderes para tomar medidas diretas para gerir a ameaça à cibersegurança que afecta as ICI.
• Impacto operacional: As actividades de correção necessárias ou as intervenções da CSA podem causar perturbações operacionais.
• Danos à reputação: A não conformidade ou os incidentes resultantes que afectam os serviços essenciais podem prejudicar gravemente a confiança do público e a reputação da organização.
• Responsabilidade legal: Dependendo do impacto de um incidente resultante de não conformidade, podem surgir potenciais responsabilidades civis.

A conformidade é essencial para manter a licença para operar serviços críticos em Singapura.

FAQ

Quem tem de cumprir a CCoP?

Proprietários de sistemas informáticos designados como infra-estruturas críticas da informação (CII) pelo Comissário da Cibersegurança ao abrigo da Lei da Cibersegurança de Singapura de 2018. Trata-se de sistemas necessários para a prestação contínua de serviços essenciais em sectores como a energia, a água, a banca, a saúde, os transportes, etc.

Qual é a versão atual da CCoP?

A CCoP 2.0, emitida em julho de 2022, é a versão atual, substituindo as versões anteriores. Inclui requisitos actualizados, em especial no que diz respeito à segurança OT e ao risco da cadeia de abastecimento.

A conformidade com a CCoP é obrigatória?

Sim, para os proprietários de ICI designados em Singapura, a conformidade com a CCoP é um requisito legal ao abrigo da Lei da Cibersegurança de 2018.

Com que frequência são necessárias auditorias CCoP?

Os proprietários de ICI devem efetuar auditorias de cibersegurança à sua conformidade com a lei e com a CCoP, pelo menos uma vez de dois em dois anos, realizadas por um auditor aprovado pela CSA, salvo indicação em contrário do Comissário.

Como é que a CCoP se relaciona com normas internacionais como a ISO 27001 ou o NIST CSF?

A CCoP baseia-se significativamente em normas e melhores práticas internacionais estabelecidas, incluindo conceitos da ISO 27001, NIST CSF e outros. Adapta estes princípios a requisitos específicos e obrigatórios adaptados ao contexto das ICI de Singapura. A obtenção da ISO 27001 pode ajudar a cumprir muitos requisitos da CCoP, mas a conformidade com a CCoP deve ser avaliada especificamente.

Qual é a diferença entre a CCoP e a PDPA de Singapura?

A CCoP centra-se na cibersegurança dos sistemas designados de infra-estruturas críticas de informação. A Lei da Proteção dos Dados Pessoais (PDPA) rege a recolha, utilização e divulgação de dados pessoais pelas organizações de uma forma mais geral em Singapura. Embora as medidas de cibersegurança exigidas pela CCoP ajudem a proteger os dados pessoais potencialmente residentes nas ICI, a PDPA tem as suas próprias obrigações específicas em matéria de proteção de dados.

Onde posso encontrar o documento oficial da CCoP?

O código oficial de práticas de cibersegurança para as infra-estruturas críticas da informação (CCoP 2.0) pode ser consultado no sítio Web da Agência de Cibersegurança de Singapura (CSA).