SINGAPURA: Penguasa Kewangan Singapura (MAS) pada Isnin (18 Jan) mengeluarkan garis panduan yang sudah disemak untuk institusi kewangan mengurangkan risiko siber dengan lebih baik. Ini termasuk memerlukan institusi-institusi berkenaan mempunyai pengawasan yang ketat terhadap para penyedia perkhidmatan pihak ketiga dan para pembekal teknologi.

Garis panduan baru ini berkaitan dengan bank-bank, syarikat perkhidmatan bayaran serta syarikat-syarikat perdagangan dan insurans.

Perkembangan ini muncul di tengah-tengah serangan siber di seluruh dunia, termasuk apa yang dipanggil kejadian SolarWinds. Para penggodam menjatuhkan syarikat perisian di Texas, SolarWinds dan menggunakan syarikat tersebut sebagai batu loncatan untuk melangkah dengan lebih dalam memasuki rangkaian korporat dan pemerintah Amerika Syarikat.

"Serangan siber kepada rantaian bekalan baru-baru ini yang menyasarkan beberapa penyedia perkhidmatan IT melalui exploitasi pengurusan rangkaian perisian yang digunakan dengan meluas, merupakan tanda-tanda jelas tentang sekitaran ancaman siber yang semakin teruk," kata MAS dalam satu kenyataan media.

"Garis panduan yang sudah disemak ini memberi tumpuan kepada mengatasi risiko-risiko teknologi dan siber dalam persekitaran yang menunjukkan penggunaan yang lebih meluas oleh institusi-institusi kewangan (FIs) dalam teknologi-teknologi awan (cloud), aplikasi pemprograman antara muka, dan perkembangan perisian yang pesat."

Di antara langkah-langkah yang dibentangkan dalam garis panduan yang disemak ini, institusi kewangan dijangka menggunakan "pengawasan yang ketat" dalam pengurusan bersama penyedia perkhidmatan pihak ketiga, menurut MAS.

"Para FI harus mengkaji dan mengurus pendedahannya kepada risiko teknologi yang mungkin boleh menjejas kerahsiaan, integriti dan adanya sistem IT dan data pada pihak ketiga sebelum memasuki perjanjian kontrak atau bekerjasama," dalam kenyataan garis panduan tersebut.

Institusi kewangan juga harus memastikan bahawa pihak ketiga dan kod-kod perisian dengan sumber terbuka dikenakan kajian dan ujian sebelum integrasi ke dalam perisian sendiri.

Sebagai tambahan, latihan siber sepatutnya dijalankan untuk memberi institusi kewangan bagi menguji tekanan siber pertahanan mereka.

Garis panduan yang disemak ini juga memberi bimbingan tambahan kepada peranan dan tanggungjawab lembaga pengarah dan pengurusan kanan institusi-institusi kewangan.

Mereka harus memastikan ketua pegawai informasi dan ketua pegawai informasi sekuriti, dengan pengalaman dan kepakaran yang diperlukan, dilantik dan diberi tanggungjawab mengurus risiko-risiko siber, kata MAS.

Lembaga tersebut juga harus melibatkan ahli-ahli yang mempunyai pengetahuan yang relevan untuk memberi pengawasan yang berkesan bagi risiko-risiko siber.

"Teknologi kini menguatkan lagi kebanyakan aspek-aspek perkhidmatan kewangan. Bukan sahaja institusi kewangan yang mengambil teknologi-teknologi baru, tetapi mereka juga lebih bergantung kepada penyedia perkhidmatan pihak ketiga," kata Encik Tan Yeow Seng, ketua pegawai sekuriti siber MAS.

"Garis panduan yang disemak ini membentangkan jangkaan MAS yang lebih tinggi dalam bidang pengurusan teknologi risiko dan kawalan sekuriti di institusi-institusi kewangan.

MAS menyatakan ia berharap syarikat-syarikat akan mematuhi garis panduan ini kerana ia akan diambil kira dalam penilaian risiko terhadap institusi-institusi kewangan tersebut.