PINANGUNAHAN nina Camarines Sur Reps. Migz at Luigi Villafuerte ang paglikha ng pondong nakalaan para sa pag-iwas at pagmitiga ng panganib sa cybersecurity, gayundin sa pagpigil at paghahanda laban sa digital attacks sa mga tanggapan ng pamahalaan at negosyo.

Ang iminungkahing Cybersecurity Risk Management and Mitigation Fund (CRMMF) ay gagamitin para sa pamamahala ng nalalapit o aktwal na cyber attacks, kabilang ang pagtukoy at pag-detect ng banta, incident response, system recovery at protection, at iba pang kaugnay na gawain o serbisyo, ayon kina Migz, chairman ng House committee on information and communications technology (ICT), at Luigi, deputy majority leader ng Kamara.

Mula sa CRMMF na ito, 30 porsiyento ay ilalaan bilang Quick Response Fund para sa agarang pagpapanumbalik ng mga naapektuhang critical information infrastructure (CII), na binubuo ng mga computer at ICT systems at proseso ng bansa na mahalaga sa tuloy-tuloy na paghahatid ng mahahalagang serbisyo, na nanganganib mula sa phishing, ransomware at social engineering attacks, pati na rin ang pag-usbong ng mga bagong banta mula sa artificial intelligence (AI) gaya ng deepfakes.

Ang tiyak na halaga ng CRMMF at ang mga tatanggap na ahensiya ay itatakda sa pag-apruba ng Pangulo, alinsunod sa rekomendasyon ng National Cybersecurity Agency (NCSA), ang bagong ahensiyang nais itatag ng mga Villafuerte at dalawa pang CamSur congressmen sa ilalim ng House Bill (HB) No. 2826.

Kilala bilang “The Cybersecurity Act,” ang HB 2826 ay inihain nina Villafuerte kasama sina Rep. Tsuyoshi Anthony Horibata at Bicol Saro Rep. Terry Ridon.

Iminungkahi nina Migz at Luigi ang pagtatatag ng NCSA at CRMMF sa panukalang batas na ito matapos ibunyag ni Department of Information and Communications Technology (DICT) Secretary Henry Aguda na napigilan ng pamahalaan ang Distributed Denial of Service (DDoS) attacks sa mga bangko ng Pilipinas noong Nobyembre 5.

Ang Nobyembre 5 ay kilala bilang Guy Fawkes Day o annual hacking day kung saan nagaganap ang mga hacking activities, digital attacks at online protests sa buong mundo bilang anyo ng cyber activism.

Ayon sa ulat ng Cybersecurity Bureau ng DICT, sinabi ni Aguda sa press briefing na “the banking sector is the most affected (by the DDoS attacks). But so far, none of those banks have reported any disruption in their operations.”

Ang DDoS ay tumutukoy sa “traffic flood” kung saan ang mga threat actor ay nagsasagawa ng malawakang cyber attacks sa mga website ng piling institusyon, upang gambalain ang kanilang online services sa pamamagitan ng pagpapahirap sa netizens na ma-access ang mga target na platform.

Iniulat na pinagana ng DICT ang Oplan Cyberdome, kung saan nakipag-ugnayan ito sa Cybercrime Investigation and Coordinating Center (CICC), National Telecommunications Commission (NTC) at law enforcement agencies upang bantayan at pigilan ang ganitong uri ng cyberattacks.

“The CRMMF shall be used for cybersecurity risk mitigation, prevention, and preparedness activities such as but not limited to training of personnel, procurement of equipment, and capital expenditures,” ani Migz.

Dagdag pa niya, ang pondong ito “can also be utilized for the management of imminent or actual cybersecurity threats which may occur during the current fiscal year or those that occurred in the past 2 years from the current fiscal year.”

Ang bagong batas sa cybersecurity ay kabilang sa 44 priority measures sa ilalim ng Common Legislative Agenda na binuo ni Pangulong Marcos kasama ang mga lider ng Kongreso sa unang Legislative-Executive Development Advisory Council (LEDAC) meeting ng ika-20 Kongreso noong Setyembre 30 sa Malacañan Palace.

Ayon kay Luigi, sa ilalim ng HB 2826, “All departments or agencies that shall be allocated with funds from the CRMMF shall submit to the NCSA monthly statements on their utilization of CRMMF and make an accounting of such disbursements in accordance with existing accounting and auditing rules.”

Ang iminungkahing CRMMF ay popondohan din ang operasyon ng National Computer Emergency Response Team (NCERT) ― “the group of information security experts and practitioners responsible for responding to cybersecurity incidents of organizations, with the aim of minimizing the impact or damage and ensuring recovery of affected CII systems,” ani Luigi.

Sa ilalim ng HB 2826, ang NCERT ay magiging quick-response team na may kakayahang agad na mag-detect, mag-analisa at magmitiga ng cyber incidents na nakakaapekto sa pambansang seguridad o interes ng publiko, at makikipagtulungan sa mga kaugnay na ahensiya ng pamahalaan, pribadong sektor at international partners para sa koordinadong incident response.

Kasama rin sa tungkulin ng NCERT ang pagpapahusay ng cyber threat intelligence at situational awareness, pagtatatag ng liaison network ng CERTs sa mga ahensiya ng gobyerno bilang suporta sa implementasyon ng mandato ng NCSA, at pagsasagawa ng vulnerability assessment at penetration testing upang ma-detect, matukoy at ma-analisa ang cyber threats at ma-attribute ang cyberattacks laban sa CIIs.

Lahat ng national government agencies (NGAs), government-owned and -controlled corporations (GOCCs) at local government units (LGUs) ay inaatasang magpatupad ng cybersecurity baselines at magtalaga ng kanilang chief information security officers upang matiyak ang institutional resilience.

Sinabi ng mga Villafuerte na sa era of digitalization kung saan ang mga tao, gobyerno at kompanya ay bulnerable sa mga atake sa cyberspace, ang pagbuo ng quick-response NCSA ay kailangan para sa matatag na defense infrastructure para protektahan ang mga indibidwal at organisasyon mula sa cyber attacks.

“We need to put front and center the protection of our online systems, networks and programs from attacks from threat actors who aim to access, alter or destroy sensitive information, extort money from cyber players through ransomware and/or disrupt normal government or business processes,” ani Migz.

“Hence, the immediate congressional passage of HB 2826, or ‘The Cybersecurity Act,’ is earnestly sought to secure the Philippines’ digital future and make sure that our country is adequately prepared to confront and overcome the complex challenges of the modern cyber environment,” dagdag ni Migz.

Ipinaliwanag ni Luigi ang phishing bilang panlilinlang upang ma-download ng tao ang virus o malware sa pamamagitan ng pekeng links sa email, text o websites, habang ang ransomware ay pag-encrypt ng data ng tao o organisasyon upang pigilan ang access sa kanilang files at systems at hingan sila ng ransom para makuha nilang muli ang kanilang data.

Ang social engineering naman ay panlilinlang sa pamamagitan ng pagpapanggap bilang empleyado ng bangko o telcos upang makuha ang sensitibong impormasyon gaya ng passwords, ani Luigi.

Ang NCSA ay pamumunuan ng isang director-general na may ranggong undersecretary, at ang Cybersecurity Bureau (CSB) ng DICT kasama ang mga division nito, pondo, kagamitan at tauhan ay ililipat sa bagong ahensiya.

Ang HB 2826 ay magpapataw ng administrative at criminal penalties sa mga paglabag gaya ng hindi pagsunod, hindi awtorisadong paglabas ng confidential information at cyber attacks sa CIIs.

Ang mga paglabag na may layuning takutin ang publiko o pabagsakin ang pambansang estruktura ay maaaring kasuhan sa ilalim ng Anti-Terrorism Act.

Ang sinumang sadyang o dahil sa kapabayaan ay maglalabas ng confidential o sensitibong impormasyon ay maaaring makulong ng anim hanggang 12 taon at magmulta ng hindi bababa sa P500,000.

Ang hindi awtorisadong paglabas ng confidential o sensitibong impormasyon na may kaugnayan sa pambansang depensa o seguridad, na may layunin o dahilan upang magamit laban sa Pilipinas o pabor sa dayuhang bansa, ay papatawan ng habambuhay na pagkakakulong at multa na hindi bababa sa P1 milyon.

Nauna nang sinabi ni Migz na ang House ICT committee ay gumagawa ng AI framework upang labanan ang deepfakes at iba pang uri ng cyber fraud na dulot ng digital technology.

Kasama rin sina Migz, Luigi, Horibata at Ridon sa panawagan para sa pagpasa ng Bill of Rights on AI sa ilalim ng HB 2827 upang suportahan ang National AI Strategy for the Philippines (NAIS Ph) at tiyakin na ang teknolohiyang ito ay “accessible, ethical, at responsive” sa pangangailangan ng lipunan.

Ang HB 2827, o “Artificial Intelligence (AI) Development and Regulation Act,” ay nagmumungkahi ng pagtatatag ng apat na institusyon para magpatupad at mag-oversee ng polisiya para ma-adapt ng gobyerno ang ebolusyon ng AI.

Kabilang dito ang Philippine Council on Artificial Intelligence (PCAI) ― ang policy-making at advisory body sa ilalim ng DICT; at Artificial Intelligence Board (AIB) na binubuo ng DICT Secretary bilang chairperson at Department of Science and Technology (DOST) Secretary bilang co-chairperson para sa regulatory at supervisory authority sa development ng Al systems.

Ang dalawa pa ay ang National Center for Artificial Intelligence Research (NCAIR) na magiging DOST-attached agency para sa policy at program coordination; at ang National Innovation Council (NIC) na magtataguyod ng ugnayan ng gobyerno, pribadong sektor at academe sa AI development.

“The 20th Congress needs to craft a set of rules and regulations on AI control as this disruptive technology has been linked to the proliferation of deepfakes or AI fakery aimed at manipulating and deceiving the public, which can have serious political and social implications,” ani Migz.

Dagdag ni Luigi, dahil sa banta ng misuse ng AI na makakaapekto sa publiko, “the DOST has drawn up a NAIS Ph ― and which the President subsequently approved ― to guide the country on developing, deploying and governing AI in the country until 2028.”