Die Verabschiedung des neuen Cybersicherheits-Rahmengesetzes in Chile ist ein bedeutender Schritt, wenn es um den Schutz digitaler Vermögenswerte geht, der es uns auch ermöglicht, andere Vermögenswerte, die nicht immer berücksichtigt werden, besser zu schützen, wie zum Beispiel den Ruf des Unternehmens oder im Fall von Personen, ihre persönlichen Daten.
Um die neuen Vorschriften einzuhalten, müssen wir die wichtigsten Punkte kennen. Zusammenfassend heben wir einige seiner zentralen Aspekte hervor:
1. Das Gesetz schafft eine Institution (ANCI, National Cybersecurity Agency), die für die Grundsätze und Vorschriften verantwortlich sein wird, die die Cybersicherheitsmaßnahmen der staatlichen Verwaltungsbehörden und die Beziehung zwischen ihnen und Einzelpersonen regeln.
2. Das Gesetz gibt der ANCI die Möglichkeit, Vorfälle zu verwalten und die Mindestanforderungen für die Prävention, Eindämmung, Lösung und Reaktion auf auftretende Cybersicherheitsvorfälle festzulegen.
3. Das Gesetz gibt der ANCI die Befugnis, PFLICHTEN und SANKTIONEN festzulegen. Legen Sie die Befugnisse und Pflichten sowohl staatlicher Stellen als auch privater Institutionen fest, die über eine kritische Informationsinfrastruktur verfügen, und richten Sie Kontrollmechanismen sowie ein System von Verstößen und Sanktionen ein.
4. Das Gesetz legt fest, wer ihm unterliegt. Sie werden in zwei Gruppen eingeteilt: die Pflichtsubjekte und die Betreiber von entscheidender Bedeutung. Es ist sehr langwierig, jede Definition im Detail zu erklären, worauf ich hoffentlich in einer anderen Kolumne näher eingehen werde.
5. Das Gesetz sieht Bußgelder zwischen 5.000 UTM und 40.000 UTM vor, abhängig von der Schwere und anderen Faktoren, von denen einer der wichtigsten hervorsticht: die Verpflichtung, jeden Cybersicherheitsangriff oder -vorfall innerhalb einer Frist von maximal 3 Stunden nach dem Angriff zu melden Wenn ein Vorfall stattgefunden hat (oder zumindest davon Kenntnis erlangt hat), führt die Nichtmeldung eines Vorfalls zu Geldstrafen.
Der Nutzen der Information besteht darin, die übrigen Beteiligten zu warnen, damit sie rechtzeitig Vorkehrungen für das Geschehen treffen und wir uns durch Zusammenarbeit besser verteidigen können.
Um die Notwendigkeit eines solchen Gesetzes zu verstehen, ist es wichtig, das Szenario zu verstehen, das wir in Chile erlebt haben, wenn wir über Cybersicherheitsangriffe und deren Auswirkungen in jüngster Zeit sprechen.
Zunächst müssen die Auswirkungen der zunehmenden Digitalisierung verschiedener Dienstleistungen, die Geschwindigkeit, mit der sie stattgefunden hat, und das Ausmaß ihrer Umsetzung in Unternehmen aller Branchen berücksichtigt werden. Dadurch wurde die exponierte Oberfläche exponentiell erweitert, was Cyberkriminellen mehr Spielraum bietet.
Chile liegt mit 21 Ransomware-Vorfällen an vierter Stelle der lateinamerikanischen Länder, die im Jahr 2023 am stärksten von Cyberangriffen betroffen waren, und wird nur von Brasilien, Mexiko und Argentinien übertroffen. (Quelle Entel Digital). Zu den repräsentativsten Angriffen zählen Social Engineering, Phishing, Malware und Ramsomware.
Im Jahr 2023 kam es in Chile laut einer Studie von Cyber Threat Activity, Trellix, zu mehr als 700.000 Cyberangriffen; Andere Analysen sprechen von mehr als 2 Millionen Angriffen, je nachdem, wie sie analysiert werden und welche Quellen sie haben. Wenn man sich jedoch auf das Wesentliche konzentriert, stellt der Finanz-/Bankensektor fast 50 % dieser Angriffe dar, 20 % ereignen sich im öffentlichen Sektor und die restlichen 30 % ereignen sich in den übrigen Branchen.
Es muss klargestellt werden, dass ein Angriff NICHT IMMER erfolgt und auch nicht unbedingt darauf abzielt, finanzielle Belohnungen zu erhalten, auch wenn sie am häufigsten vorkommen. Es muss klar sein, dass Angriffe auch Absichten anderer Art haben, beispielsweise die Beeinträchtigung der Reputation eines Unternehmens, das Stoppen eines Dienstes, einen Systemabsturz verursachen oder sich einfach damit rühmen, einen Angriff ausführen zu können, der eher symbolischer als schädlicher Natur ist.
Ein weiterer wichtiger Punkt, den es zu beachten gilt, der nicht immer sichtbar ist, ist, wenn man bedenkt, dass die „Gewinne“ auf mehrere zehn Billionen Dollar pro Jahr geschätzt werden, könnte man leicht denken, dass wir es mit einer ganzen Cyberkriminalitätsbranche zu tun haben.
Unter Berücksichtigung der oben beschriebenen Situation und Faktoren ist ein Regulierungsrahmen erforderlich, der es uns ermöglicht, eine klare Verteidigungsstrategie zu verfolgen, bei der wir uns alle schützen und gemeinsam und informiert handeln, um die Risiken so gering wie möglich zu halten möglichst katastrophale Risiken.
So wie einzelne Pinguine ihr Gefieder, ihr Körperfett und ein einzigartiges Kreislaufsystem nutzen, zeigen sie, wenn sie sich gruppieren, auf natürliche Weise ein Ansammlungsverhalten, das es ihnen ermöglicht, die Auswirkungen der Kälte abzumildern.
Die gleiche Absicht könnten wir dem Cybersicherheits-Rahmengesetz Nr. 21.663 zuschreiben: an unserer Sicherheit zu arbeiten und als Team zusammenzuarbeiten, um die Auswirkungen von Cybersicherheitsangriffen abzuschwächen. Wir alle tragen dazu bei, uns zu schützen. Es ist notwendig, im Detail zu erklären, wie wir gemeinsam vorgehen werden, aber das wird Thema einer anderen Kolumne sein.
Es sei darauf hingewiesen, dass Chile in der Region bei der Festlegung dieser Art von Meilensteinen ganz oben auf der Liste steht, ohne zu vergessen, dass wir in dieser Frage und im Vergleich zu anderen Regionen im Norden der Welt immer noch im Rückstand sind. Aber wir gehen entschlossen voran und ergreifen die Maßnahmen und Technologien, die es uns ermöglichen, die notwendigen Maßnahmen zu ergreifen.
Angesichts der Kapazitäten, die wir in Chile für die Implementierung von Lösungen und Experten im Bereich Cybersicherheit haben, können wir, auch wenn uns viel fehlt, ohne zu zögern sagen, dass wir die neuesten Trends bei den verfügbaren Technologien schnell übernommen haben und weitermachen die Qualität und Anzahl unserer Ingenieure zu steigern.
Ohne außer Acht zu lassen, dass das neue Gesetz einen großen Fortschritt darstellt, muss auch betont werden, dass seine Umsetzung Zeit und viel Mühe erfordern wird, um die Schwierigkeiten zu überwinden, die bei der Anwendung dieser Verordnung auftreten werden.
Ein letzter Punkt ist die Aufgabe, die uns alle ruft: Wir wollen dazu beitragen, das Recht bewusst voranzutreiben und seine Anpassung in allen Arten von Unternehmen voranzutreiben, unabhängig von ihrer Größe und ihrem Umfang. Nur gemeinsam können wir den Pinguinen in der Antarktis besser vorbeugen.
Von Sleman Alcantar J, Observer Commercial Manager.
