SINGAPUR – El próximo año (2021) se llevará a cabo un rediseño significativo de los sistemas de TI del sector público de Singapur como parte de nuevas medidas para proteger los datos personales de los ciudadanos.
Por ejemplo, las cuentas de usuarios inactivos se eliminarán automáticamente cuando los servidores públicos renuncien y se vayan. Actualmente es un proceso manual.
Esta automatización en el sector público se encuentra entre las 24 recomendaciones principales del Comité de Revisión de Seguridad de Datos del Sector Público (PSDSRC), implementadas después de una serie de infracciones en los últimos dos años.
En el ciberataque SingHealth lanzado en 2018, los atacantes atacaron cuentas de administrador inactivas, una de las cuales tenía una contraseña fácil de descifrar.
Otra nueva medida de seguridad de los datos implicará el uso de controles técnicos y de procesos para detectar y prevenir comportamientos riesgosos del usuario, como copiar archivos confidenciales de computadoras portátiles.
Se pedirá a los usuarios que reconsideren antes de hacer clic para continuar con el fin de evitar fugas de datos no intencionales.
Esto llenará los vacíos de manera similar a cómo un control de correo electrónico ya instalado detectó e interrumpió un archivo adjunto que contenía los detalles de contacto y los resultados de los exámenes de 6.541 personas para que no fueran enviados accidentalmente por un funcionario de la Comisión de Contabilidad de Singapur a destinatarios no deseados. el año pasado (2019).
En su informe anual inaugural sobre los esfuerzos de protección de datos personales del gobierno ayer, la Oficina de Gobierno Digital y Nación Inteligente (SNDGO) dijo que está en camino de implementar las 24 medidas para fines de 2023 como parte de su inversión en EE. UU. $ 1 mil millones en seguridad de datos. Hasta el momento ha puesto en marcha 18 medidas.
Al explicar por qué algunas de las medidas solo se pueden implementar en el próximo año, SNDGO dijo: “Estos son programas más grandes y complejos que requieren una reestructuración significativa de los sistemas técnicos y, por lo tanto, requerirían un plazo más largo para su implementación”.
Por ejemplo, la automatización de la eliminación o concesión de derechos de acceso de los usuarios a los sistemas de TI del sector público solo se puede implementar por completo en los 2000 sistemas de TI para fines de 2024.
Mientras tanto, se utilizará un sistema técnico para alertar a las agencias sobre movimientos de personal y cambios de roles para que las agencias puedan eliminar de forma manual y rápida las cuentas de usuarios inactivos.
El marco PSDSRC reemplazará las prácticas actuales en las agencias públicas, muchas de las cuales han creado sus propios protocolos.
El comité fue convocado por el primer ministro Lee Hsien Loong en marzo del año pasado, luego de una ola de violaciones de seguridad cibernética, incluido el incidente de SingHealth en junio de 2018.
Luego, los piratas informáticos robaron datos de 1,5 millones de pacientes e información de prescripciones para pacientes ambulatorios de 160.000 personas.
También a partir de marzo del próximo año, todas las agencias públicas deben realizar anualmente simulaciones de incidentes de seguridad cibernética y de datos para asegurarse de que estén preparados cuando ocurran violaciones.
Esto complementa otra medida lanzada en el sitio web de SNDGO en abril para permitir al público informar sobre violaciones de datos que involucren a agencias públicas.
En su informe anual, la SNDGO también destacó los planes para proporcionar nuevas pautas para fines de este año con el objetivo de ayudar a las agencias públicas a usar los datos biométricos de manera responsable.
“Los datos biométricos se utilizan cada vez más como una forma conveniente y segura de verificación de identidad para acceder a servicios digitales e instalaciones seguras”, dijo.
Un ejemplo de esto es SingPass Face Verification, lanzado en septiembre. Permite a las personas escanear sus rostros de forma remota en sus teléfonos celulares para verificar quiénes son, sin tener que cargar fotos de su NRIC o aparecer en persona para realizar acciones como abrir una cuenta bancaria.
“Los datos biométricos tienen características únicas que los diferencian de otros tipos de datos personales”, dijo la SNDGO en su informe. “Por ejemplo, los datos biométricos a menudo son inmutables, lo que significa que no se pueden reemplazar fácilmente una vez que se ven comprometidos”.
