0
De singaporese overheid moet niet strafbaar zijn cybersecurity activiteiten uitgevoerd met goede bedoelingen aan te moedigen, is het delen van waardevolle informatie over de bedreiging, die zal helpen om de sector beter te bestrijden aanvallen.
Het moet ook duidelijk definiëren van het voorgestelde mandaat dat zou dwingen organisaties melden van een inbreuk op gegevens binnen 72 uur, vooral omdat het meestal na weken of zelfs maanden voordat een kwetsbaarheid geïdentificeerd.
De singaporese overheid op donderdag hield de introductie van een nieuwe uitspraak, onder de Wet Bescherming persoonsgegevens (PDPA), dat zou vereisen dat organisaties om gegevens schendingen binnen 72 uur.
Ze zouden verslag van deze incidenten aan de getroffen klanten en de Bescherming van persoonsgegevens van de Commissie (PDPC), dat toezicht hield op de wet. De beweging zou bieden consumenten de mogelijkheid om maatregelen te nemen om zichzelf te beschermen tegen eventuele risico ‘ s, aldus de commissie.
De verplichte schending rapport ook zou de PDPC om een duidelijker overzicht van incidenten en het beheer van de inbreuken op nationaal niveau, zei hij, eraan toevoegend dat het zou leiding geven aan de betrokken organisaties op corrigerende stappen te nemen.
Een agentschap van de regering merkte op dat het bewust niet op te leggen “overdreven verlieslatende regelgevende lasten” op bedrijven of oorzaak “kennisgeving vermoeidheid” tussen individuen. Vandaar dat de voorgestelde wet zou vereisen dat de getroffen klanten u wilt worden gewaarschuwd wanneer er een risico van een effect of schade.
De PDPC ook gemeld moet worden wanneer er aanzienlijke schaal van breuk, bijvoorbeeld, indien de inbreuk betrokken de persoonlijke gegevens van meer dan 500 personen.
In gevallen waarin de organisaties werden vereist op grond van een afzonderlijke wetgeving melden van een inbreuk op gegevens aan politie of justitie of het ministerie het toezicht op de industrie, de PDPC moet gemeld worden gelijktijdig. Hij zei dat dit was gericht op het minimaliseren van de administratieve lasten voor organisaties beheerst door het overlappen van de vereisten om een melding in het geval van een schending van de beveiliging.
Gegevens intermediairs die verwerkt persoonlijke gegevens in opdracht van een andere organisatie stelt de organisatie van een data-inbreuk onmiddellijk, de PDPC zei. Dit zou de organisatie in staat stellen om sneller evalueren van de aard van de overtreding en bepalen als waren zij verplicht om de nodige overheidsinstellingen.
Onder Singapore voorgestelde nationale cybersecurity wetsvoorstel, de exploitanten van kritieke informatie-infrastructuur (CII) nodig zou zijn om het verslag van cybersecurity-incidenten “binnen de voorgeschreven periode” na de gebeurtenis, onder andere verplicht verantwoordelijkheden. De singaporese overheid had genoteerd 11 sectoren beschouwd als eigen kii ‘ s, met inbegrip van water, gezondheid, maritiem, media, infocom, energie en luchtvaart. De publieke sector zelf deel uit van deze categorie.
Volgens PDPC de voorgestelde verplichte schending rapportage, bedrijven zouden op de hoogte moeten stellen de betrokken personen van de data breach “zodra [het was] praktisch mogelijk” te doen, “tenzij een uitzondering of vrijstelling van toepassing is”.
“PDPC moet ook worden medegedeeld en zo spoedig mogelijk, maar niet later dan 72 uur vanaf het moment dat de organisatie zich bewust is van de schending van de beveiliging,” zei hij.
Het mandaat was gelijk aan die van de Europese Unie General Data Protection Regulation (GDPR), die ook zou vereisen dat organisaties in kennis te stellen autoriteiten binnen 72 uur na het ontdekken van een data inbreuk, als het was waarschijnlijk de getroffen klanten in gevaar.
In het verfijnen van dit voorstel van mandaat, de singaporese overheid moet duidelijk zijn over wat dit inhield, zei Bill Taylor-Mountford, LogRhythm ‘ s Azië-Pacific en Japan vice-president.
Spreekt ZDNet aan de zijlijn van de RSA Conferentie in Singapore, hij zei dat de 72-uur regel kan op verschillende manieren worden geïnterpreteerd, afhankelijk van hoe of wat had geïdentificeerd als een schending. Bijvoorbeeld, zou de bedrijven worden verplicht om te melden–binnen 72 uur–een data inbreuk, die waren vastgesteld door een threat intelligence systeem.
Singapore university inbreuken onthullen bredere aanval oppervlak te beschermen
De regering is het verhogen van de industrie samenwerking en onderzoeken suggereren Singapore heeft een cybersecurity-strategie die verder gaat dan het beperken van de toegang tot internet, als twee universiteiten ten prooi vallen aan APT-aanvallen.
En zou de 72-uurs klok te starten tikken nadat de strijd was geïdentificeerd of nadat zij had vastgesteld dat de impact en de omvang van de inbreuk, zei Sean Duca, Palo Alto Networks’ Asia-Pacific chief security officer en vice president.
Hij merkte op dat bedrijven wel meer tijd nodig hebben om erachter te komen wat er gaande was, bijvoorbeeld, of een schending van de beveiliging door middel van een laptop had beïnvloed andere systemen in het netwerk. “Soms kun je niet werken dat uit in 72 uur,” Duca vertelde ZDNet. “Ik denk niet dat de 72-uur mandaat is onredelijk, maar het zal een uitdaging zijn [voor sommige bedrijven] en we moeten om precies aan te geven wat dat betekent.”
Hij zei dat dit verder onderstreept het belang van het runnen van een tafelblad oefeningen en de oefeningen te verhogen, de organisatie van de paraatheid in geval van een werkelijke strijd.
Volgens onderzoek van het Ponemon Institute, financiële instellingen nam een gemiddelde van 98 dagen voor het detecteren van een data inbreuk, terwijl retailers in beslag nam 197 dagen.
Delen van de dreiging van gegevens moet gemakkelijker worden gemaakt
Duca ook aangedrongen op de noodzaak van wetgeving voor het vergemakkelijken van de uitwisseling van informatie over de bedreiging, die van vitaal belang was om de sector beter te bestrijden aanvallen. “Het moet niet verplicht worden, maar we moeten uitzoeken manieren om dit makkelijker te maken,” zei hij.
En in plaats van te bestraffen publicaties of activiteiten die kunnen onbedoeld bloot in gevaar gebrachte systemen, hij moedigde de regeringen niet tot het strafbaar maken van een goede opzet of verkennende werkzaamheden die gericht zijn op het identificeren van potentiële kwetsbaarheden te verwijderen zodat deze kan worden aangesloten.
Hij voegde eraan toe dat sommige bedrijven of personen kan angst voor het schenden van de privacy-wetgeving als ze besproken dreiging van gegevens en, vandaar, zou afzien van het delen van deze informatie. “Als we bevorderen een goede manier voor mensen om te praten over dit en moedigen dat gedrag, dan zullen organisaties meer kans om gegevens te delen,” zei hij.
Het vergroten van de kennis van gebruikers ook van essentieel belang zouden zijn met de groeiende adoptie van het Internet of Things (IoT) en andere slimme apparaten, volgens Gavin Chow, security strategist bij Fortinet ‘ s FortiGuard Labs.
De consument moet begrijpen wat de gevolgen van het gebruik van dergelijke apparaten en vragen te stellen toen ze voelde bedrijven over de lijn was, Chow zei in antwoord op vragen over het nieuws dat de iRobot, die vervaardigd Roomba zuigt, was op zoek om te verkopen mapping data van hun klanten thuis.
iRobot CEO Colin Angle zei de gegevens van de Roomba kan helpen smart home apparaten een beter begrip van hun omgeving, zoals het afstemmen van geluid systemen op een huis akoestiek.
Voor de aankoop of het gebruik van de IoT apparaten, Chow zei dat de consument moet weten hoe fabrikanten gepland om het gebruik van hun persoonlijke gegevens en of ze kunnen kiezen uit. Hij constateerde dat de wetgeving zou kunnen helpen bepalen dat een dergelijk gebruik, bijvoorbeeld door het verplicht apparatuur verkocht in een land verklaarde de aard van de gegevens van de gebruiker de apparaten zouden verzamelen en hoe de fabrikanten zou het gebruik van de informatie.
Echter, dit zal waarschijnlijk een lang proces om door te drukken en uitdagende af te dwingen over de grenzen heen, zei hij. Het kan bijzonder lastig zijn in de regio Azië-Pacific, ook omdat de markten zijn sterk versnipperd.
Hij legde uit dat de onderzoekers van de veiligheid, bijvoorbeeld, had een manier gevonden om hack in het web aangesloten camera ‘ s, gemaakt in China, maar kwam in de problemen toen ze probeerden om contact met de fabrikanten, kunnen sommige van die gewoon niet reageren. Diegenen die nog beweerden dat ze waren gewoon resellers of Oem ‘ s (original equipment manufacturers) van het apparaat en waren niet in staat om de kwetsbaarheid repareren.
Dus niemand nam de eigenaar van het probleem, Chow zei, toevoegend dat de software codes die de kwetsbaarheid werden mogelijk gebruikt in diverse OEM modellen. Hij drong er bij de consument om altijd te controleren voor patches en firmware-upgrades om ervoor te zorgen hun huis-apparaten, zoals routers, network-attached storage-apparaten en printers waren beveiligd.
Duca eens door te hameren op de noodzaak voor consumenten om na te denken over hoe zij het gebruik van het apparaat en de bijbehorende risico ‘ s van privacy en veiligheid. Terwijl velen geloofden dat de bewijslast moet worden op de fabrikanten, merkt hij op dat veel van deze bedrijven geëxploiteerd op een laagste-kosten model om hun producten uit de markt zo snel en goedkoop mogelijk.
“Dus vraag de leverancier en de fabrikant vragen over hoe ze het gebruik van uw gegevens. We moeten allemaal beginnen te denken over hoe we met behoud van onze eigen veiligheid”, zei hij.
Hulp voor Singapore bedrijven op de bescherming van de gegevens
Voor de ontwikkeling van “een betrouwbare data-ecosysteem” in Singapore, de PDPC zei dat het van plan was om beschikbaar te maken door het einde van het jaar een online assessment tool en gidsen gericht op het helpen van bedrijven om een data protection management plan en voeren de bescherming van de gegevens impact assessments.
Daarnaast is er een gegevensbescherming Keurmerk certificatie-programma zou worden gelanceerd tegen het einde van 2018, zei Singapore Minister van Communicatie en Informatie Yaacob Ibrahim. Dit zou betekenen dat de organisatie aangenomen geluid praktijken en regelmatig bijgewerkt de processen, zei Yaacob, die sprak donderdag bij de Bescherming van Persoonlijke Gegevens Seminar.
Het citeren van een 2016 studie uitgevoerd door PDPC, de minister zei vier op de vijf consumenten had er meer vertrouwen in u zaken doet met organisaties die is geaccrediteerd voor het voldoen aan de bescherming van persoonsgegevens normen. “Bij de beoordeling van aanvragen voor het Keurmerk, zullen we beseffen bedrijven dat hebben de overstap gemaakt van de loutere naleving van de verantwoordingsplicht,” zei hij.
“Het is niet mogelijk voor de PDPC te vangen elke inbreuk. In plaats daarvan moeten bedrijven hun rol spelen,” Yaacob opgemerkt. “Organisaties moeten hun mentaliteit [en] niet weergeven gegevensbescherming als een loutere naleving van de oefening, maar eerder als een verantwoordelijkheid geschonken door hun klanten, en volledig geïntegreerd in de bedrijfscultuur van rentmeesterschap en verantwoordelijkheid.”
Hij zei dat de regering ook erkende de waarde van de gegevens en het belang van het bevorderen en niet belemmeren, het gegevensgebruik te verbeteren van de dienstverlening. E-commerce operators, bijvoorbeeld, zou de behoefte aan het delen van gegevens van de klant met hun logistieke partners leveren aankopen.
“Zelfs als we de drang bedrijven verantwoordelijk voor de gegevens die zij verzamelen en gebruiken, ook willen we hen aansporen om de gegevens te gebruiken zinvol om groei en innovatie,” zei de minister. “Gegevens eenmaal zijn verzameld, kan het genereren van waarde, niet alleen voor de organisatie van het verzamelen van de data, maar ook voor anderen ver verwijderd van het eerste punt van contact.”
“We willen stimuleren dat verantwoordelijk is voor het delen van persoonsgegevens met het oog op het creëren van waarde voor onze economie,” Yaacob toegevoegd, vaststellend dat de PDPC zou het publiceren van een handboek om “duidelijkheid” over hoe bedrijven kunnen gegevens delen.
Vijf jaar na Singapore introduceerde de PDPA, hij zei dat het tijd was om te beoordelen en aanpassen van de wetgeving om te zorgen dat het ondersteund innovatief gebruik van gegevens.
Afgezien van de data breach notification, andere voorgestelde wijzigingen opgenomen van de Kennisgeving van het Doel, dat zou de basis zijn voor ‘het verzamelen, gebruik en openbaarmaking van persoonlijke gegevens indien toestemming is niet praktisch of wenselijk is door middel van verbeterde aanpak”, zei de PDPC.
Er wordt gezegd dat de data protection act momenteel vooral gericht is op individuele toestemming, als een belangrijke basis voor bedrijven te verzamelen, gebruiken en doorgeven van persoonlijke gegevens. Moet dit blijven als een fundamenteel principe, merkte zij op, toe te voegen dat organisaties altijd moeten streven naar het verkrijgen van toestemming van de gebruiker “waar mogelijk”, vooral als de verzameling, het gebruik of de openbaarmaking van gegevens kan een negatieve impact of risico ‘ s voor het individu.
0