0
Il governo di Singapore non dovrebbero penalizzare cybersecurity attività svolte con buone intenzioni al fine di favorire la condivisione di preziose informazioni di minaccia, che aiuterà il settore combattere meglio gli attacchi.
Inoltre, deve chiaramente definire la sua proposta di mandato che avrebbe obbligato le organizzazioni per segnalare una violazione dei dati entro 72 ore, soprattutto perché in genere sono volute settimane o addirittura mesi prima di una vulnerabilità è stata identificata.
Il governo di Singapore giovedì messo in discussione l’introduzione di un nuovo provvedimento, sotto la Protezione di Dati Personali (PIÙ), che richiedono le organizzazioni di segnalare le violazioni di dati entro 72 ore.
Avrebbero dovuto segnalare tali incidenti ai clienti interessati, nonché la Protezione dei Dati Personali Commissione (PDPC), che ha curato l’atto. La mossa avrebbe fornire ai consumatori la possibilità di prendere misure per proteggere se stessi da qualsiasi potenziale rischio, la commissione ha detto.
Obbligatoria la violazione di report, inoltre, permettono la PDPC per avere una panoramica più chiara di incidenza e di gestione delle violazioni di dati a livello nazionale, ha detto, aggiungendo che sarebbe fornire una guida alle organizzazioni interessate sulle misure correttive da prendere.
L’agenzia governativa ha osservato che non era consapevole di non imporre “eccessivamente oneroso per gli oneri normativi” a imprese o a causa di una “notifica di fatica” tra gli individui. Quindi, la proposta di legge richiederebbe clienti interessati per ricevere una notifica solo quando c’era un rischio di impatto o di danno.
Il PDPC, inoltre, deve essere notificato, dove c’è stato un significativo scala di violazione, per esempio, se la violazione coinvolto i dati personali di oltre 500 persone.
Nei casi In cui le organizzazioni sono stati richiesti nell’ambito di una legislazione speciale per segnalare una violazione dei dati ad agenzie di applicazione di legge o il ministero della supervisione del loro settore, il PDPC deve essere notificata contemporaneamente. Ha detto che questo è stato finalizzato a ridurre al minimo l’onere normativo per le organizzazioni governata da una sovrapposizione di requisiti di emettere un avviso in caso di una violazione dei dati.
Dati gli intermediari che i dati personali oggetto del trattamento per conto di un’altra organizzazione deve informare l’organizzazione di qualsiasi tipo di violazione dei dati immediatamente, il PDPC detto. Ciò consentirebbe l’organizzazione più rapidamente valutare la natura della violazione e determinare se essi erano tenuti a notificare il necessario per le agenzie governative.
Al di sotto di Singapore proposto sicurezza cibernetica nazionale bill, gli operatori di infrastrutture critiche informatizzate (CII) sarebbe necessario per segnalare incidenti di sicurezza informatica “, entro il termine prescritto” dopo l’evento, tra l’altro obbligatoria di responsabilità. Il governo di Singapore aveva elencato 11 settori considerati proprie infrastrutture critiche informatizzate, compresa l’acqua, l’assistenza sanitaria, marittimo, media, infocom, energia, e l’aviazione. Il settore pubblico è stato parte di questa categoria.
Secondo PDPC proposto obbligatorio violazione di reporting, le imprese dovranno informare gli individui affetti della violazione di dati “non appena [era] praticabile”, “salvo deroga o esenzione si applica”.
“PDPC deve allo stesso modo essere informato il più presto possibile, ma non oltre le 72 ore dal momento in cui l’organizzazione viene a conoscenza della violazione di dati,” ha detto.
Il mandato è stato simile al Generale dell’Unione Europea Regolamento sulla Protezione dei Dati (GDPR), che richiedono alle organizzazioni di comunicare alle autorità entro 72 ore dopo la scoperta di un caso di violazione dei dati, se si è probabile che per mettere i clienti a rischio.
Nel dare questa proposta di mandato, il governo di Singapore dovrebbe essere chiari su ciò che questo ha comportato, ha detto Bill Taylor-Mountford, LogRhythm Asia-Pacifico, Giappone vice presidente.
Parlando di ZDNet a margine della Conferenza RSA a Singapore, ha detto che il 72 ore di norma potrebbe essere interpretata in modo diverso a seconda di come o di che cosa era stato identificato come una violazione. Per esempio, avrebbe aziende sono tenuti a riferire-entro 72 ore-una violazione dei dati che erano stati individuati da un sistema di intelligence sulle minacce.
Singapore università violazioni rivelano più ampia superficie di attacco per la salvaguardia
Governo crescente nel settore la collaborazione e gli sforzi di ricerca suggeriscono di Singapore ha bisogno di una strategia sulla sicurezza informatica che va al di là di limitare l’accesso a internet, come due università cadere preda di attacchi APT.
E sarebbe il 72 ore inizio orologio ticchettio una volta che la violazione era stato identificato o dopo che avevano determinato l’impatto e la portata della violazione, ha detto Sean Duca, Palo Alto Networks’ Asia-Pacifico, chief security officer e vice presidente.
Ha notato che le aziende potrebbero aver bisogno di più tempo per capire ciò che stava accadendo, per esempio, se una violazione dei dati che coinvolgono un portatile aveva colpito altri sistemi in rete. “A volte, non si può lavorare che fuori in 72 ore, il” del Duca detto a ZDNet. “Non penso che le 72 ore mandato è irragionevole, ma sarà difficile [per alcune aziende] e abbiamo bisogno di definire esattamente che cosa significa.”
Ha detto che questo ha sottolineato ulteriormente l’importanza dell’esecuzione di tavolo di esercizi per aumentare la organizzazione, la prontezza di risposta in caso di violazione.
Secondo una ricerca condotta dal Ponemon Institute, istituti finanziari, ha preso una media di 98 giorni per rilevare una violazione di dati mentre il retailer ha fino a 197 giorni.
La condivisione dei dati sulle minacce che dovrebbe essere semplificato
Duca ha anche sollecitato la necessità di legislazioni, per facilitare la condivisione di informazioni di minaccia, che è stato fondamentale nell’aiutare meglio il settore combattere gli attacchi. “Non dovrebbe essere obbligatorio, ma abbiamo bisogno di trovare modi per rendere questo più facile,” ha detto.
E piuttosto che penalizzare informazioni integrative o attività che, senza volerlo esporre sistemi compromessi, ha incoraggiato i governi a non criminalizzare le buone intenzioni, o il lavoro di esplorazione finalizzata alla individuazione di potenziale vulnerabilità in modo questi potevano essere inserite.
Ha aggiunto che alcune aziende o privati possono timore di violare le leggi sulla privacy se si è discusso di minaccia di dati e, di conseguenza, dovrebbe astenersi dal condividere tali informazioni. “Se vogliamo favorire un buon modo per le persone a parlare di questo e di incoraggiare tale comportamento, le organizzazioni saranno più propensi a condividere i dati,” ha detto.
Aumentare la consapevolezza degli utenti, inoltre, sarebbe essenziale con la crescente adozione di Internet delle Cose (IoT) e altri dispositivi smart, secondo Gavin Chow, security strategist di Fortinet è FortiGuard Labs.
I consumatori devono capire le implicazioni dell’utilizzo di tali dispositivi e sollevano questioni quando hanno sentito che le imprese attraversato la linea, Chow ha detto in risposta a domande su notizie che iRobot, che ha prodotto Roomba aspirapolvere, stava cercando di vendere la mappatura dei dati dei loro clienti.
iRobot Colin Angle ha detto dati raccolti da Roomba potrebbe aiutare la casa intelligente dispositivi di comprendere meglio il loro ambiente, ad esempio in corrispondenza dei sistemi audio di una casa di acustica.
Prima di procedere all’acquisto o utilizzo di dispositivi IoT, Chow ha detto che i consumatori dovrebbero scoprire in che modo i produttori prevede l’utilizzo di propri dati personali e se possono, optare. Egli ha osservato che la legislazione potrebbe aiutare a regolare l’utilizzo, per esempio, da mandato attrezzature venduto in un paese dichiarato il tipo di dati dell’utente dei dispositivi di raccogliere e di come i produttori di utilizzare le informazioni.
Tuttavia, questo sarebbe probabilmente un lungo processo di spingere attraverso e difficile da applicare attraverso le frontiere, ha detto. Potrebbe essere particolarmente difficile, in Asia-Pacifico, anche perché i mercati sono altamente frammentato.
Egli ha spiegato che i ricercatori di sicurezza, per esempio, aveva trovato un modo per hackerare il web-telecamere collegate made in Cina, ma ha funzionato in difficoltà quando hanno cercato di contattare i produttori, alcuni dei quali semplicemente non rispondere. Quelli che hanno affermato che erano semplicemente rivenditori o Oem (produttori di apparecchiature originali) del dispositivo e sono stati in grado di risolvere la vulnerabilità.
Così nessuno ha la proprietà del problema, Chow ha detto, aggiungendo che il software codici che contengono la vulnerabilità sono stati probabilmente utilizzati in vari modelli OEM. Egli ha esortato i consumatori a controllare sempre le patch e gli aggiornamenti del firmware per assicurare la loro casa dispositivi quali router, collegato in rete, dispositivi di storage e stampanti sono stati garantiti.
Duca consentito, sottolineando la necessità per i consumatori a pensare al modo in cui utilizzano il dispositivo e i connessi rischi per la privacy e la sicurezza di vista. Mentre molti ritengono che l’onere dovrebbe essere sui produttori, ha notato che molte di queste imprese sono operati su un costo più basso modello a ottenere i loro prodotti fuori mercato come rapido ed economico possibile.
“Così chiedere il fornitore e produttore domande su come usare i vostri dati. Tutti abbiamo bisogno di iniziare a pensare a come stiamo mantenendo la nostra sicurezza”, ha detto.
Aiuto per Singapore aziende sulla protezione dei dati
Per sviluppare un “attendibili i dati di ecosistema” a Singapore, il PDPC ha detto che prevede di rendere disponibile entro la fine dell’anno online strumento di valutazione e guide, finalizzato ad aiutare le aziende a stabilire una protezione dei dati piano di gestione e del comportamento di protezione dei dati, valutazioni di impatto.
Inoltre, una Protezione dei Dati Trustmark programma di certificazione che dovrebbe essere lanciato entro la fine del 2018, ha detto di Singapore, il Ministro per le Comunicazioni e le Informazioni Yaacob Ibrahim. Questo potrebbe indicare che l’impresa ha adottato i dati audio pratiche e regolarmente aggiornato i propri processi, ha detto Yaacob, che parlava giovedì alla Protezione dei Dati Personali Seminario.
Citando un 2016 studio condotto da PDPC, la cattedrale detto che quattro su cinque consumatori qui si sentivano più sicuri transazioni con le organizzazioni che era stato accreditato per la riunione di protezione dei dati personali gli standard. “Nella valutazione delle domande per il Marchio di fiducia, abbiamo la volontà di riconoscere le imprese che hanno effettuato la transizione dal mero rispetto di responsabilità”, ha detto.
“Non è possibile che il PDPC per catturare ogni singola violazione. Invece, le aziende devono fare la loro parte,” Yaacob notato. “Le organizzazioni devono cambiare la loro mentalità e non si e vista della protezione dei dati come un mero rispetto delle norme di esercizio, ma piuttosto come una responsabilità che è stata loro donata dai loro clienti, e pienamente integrato nella cultura organizzativa, di gestione e di responsabilità.”
Egli ha detto che il governo, inoltre, riconosciuto il valore dei dati e l’importanza di facilitare e non ostacolare l’utilizzo dei dati per migliorare il servizio di consegna. E-commerce operatori, per esempio, avrebbe bisogno di condividere i dati dei clienti con i loro partner logistici recapito di acquisti.
“Anche noi chiediamo alle imprese di essere responsabile per i dati che si raccolgono e utilizzano, vogliamo anche li esorto ad utilizzare i dati in modo significativo alla crescita e all’innovazione,” il ministro ha detto che. “I dati, una volta raccolti, in grado di generare valore non solo per l’organizzazione della raccolta dei dati, ma anche per gli altri, lontano dal punto di contatto iniziale.”
“Vogliamo incoraggiare la condivisione responsabile dei dati personali, al fine di generare valore per la nostra economia” Yaacob aggiunto, notando che il PDPC sarebbe la pubblicazione di una guida pratica per “chiarezza” su come le aziende potrebbero condividere i dati.
Cinque anni dopo Singapore ha introdotto la PIÙ, ha detto che è tempo di rivedere e aggiornare la legislazione per garantire che sia supportato usi innovativi di dati.
A parte i dati di notifica di violazione, altre proposte di modifica inclusa la Notifica di Scopo, che sarebbe la base per “la raccolta, l’uso o la divulgazione dei dati personali, qualora il consenso non è pratico o auspicabile, attraverso il miglioramento delle strade”, ha detto il PDPC.
Ha detto che la legge sulla protezione dei dati attualmente focalizzata principalmente sui singoli consenso come base fondamentale per le aziende per raccogliere, utilizzare e divulgare i dati personali. Questo dovrebbe essere un principio fondamentale, ha osservato, aggiungendo che le organizzazioni dovrebbero sempre cercare di ottenere il consenso dell’utente “dove possibile”, in particolare se la raccolta, l’uso o la divulgazione dei dati potrebbe compromettere o creare rischi per l’individuo.
0