0
Singapore regeringen inte bör kriminalisera cybersäkerhet verksamheter som bedrivs med gott uppsåt för att uppmuntra utbyte av värdefull information om hot som kommer att hjälpa industrin att bättre bekämpa angrepp.
Det bör också tydligt definiera sitt förslag till mandat som skulle tvinga organisationer att rapportera ett dataintrång inom 72 timmar, särskilt eftersom det vanligtvis tog veckor eller månader innan en sårbarhet har identifierats.
Singapores regering på torsdagen diskuteras införandet av en ny härskande, enligt personuppgiftslagen (PDPA), som skulle kräva organisationer för att rapportera data överträdelser inom 72 timmar.
De skulle ha att rapportera sådana händelser till drabbade kunder såväl som Skydd av Personuppgifter Kommissionen (PDPC), som övervakade agera. Flytten skulle ge konsumenterna möjlighet att vidta åtgärder för att skydda sig från eventuella risker, sade kommissionen.
Den obligatoriska brott rapport också skulle möjliggöra PDPC att få en tydligare översikt över förekomsten och hanteringen av dataintrång på en nationell nivå, är det sagt att det skulle ge vägledning till berörda organisationer om åtgärder att vidta.
Myndigheten konstaterade att det var uppmärksam att inte införa alltför betungande administrativa bördor” på företag eller orsaka “anmälan-trötthet” hos enskilda personer. Därav den föreslagna lagen skulle kräva drabbade kunder att meddelas endast när det finns en risk för påverkan eller skada.
Den PDPC måste också anmälas om det fanns ett betydande omfattning av brott, till exempel, om överträdelsen är inblandade personliga data av mer än 500 individer.
I de fall där organisationer krävs enligt en särskild lagstiftning för att rapportera ett dataintrång till brottsbekämpande myndigheter eller ministeriet övervakar deras industri, PDPC bör anmälas samtidigt. Det sade att detta var inriktad på att minimera den administrativa bördan för organisationer som styrs av överlappande krav att höja en varning i händelse av ett dataintrång.
Data mellanhänder som behandlas personuppgifter på uppdrag av en annan organisation måste informera organisationen om eventuella dataintrång omedelbart, PDPC sagt. Detta skulle göra det möjligt för organisationen att snabbt bedöma arten av brott och avgöra om de var skyldiga att anmäla de nödvändiga statliga myndigheter.
Under Singapores föreslagna nationella it-säkerhet bill, operatörer av kritisk informationsinfrastruktur (CII) skulle vara skyldiga att rapportera it-incidenter “inom föreskriven tid” efter händelsen, bland andra obligatoriska ansvarsområden. Singapores regering hade listat 11 sektorer anses äga CIIs, inklusive vatten, hälso -, sjö -, media, infocom, energi, – och luftfart. Den offentliga sektorn var en del av denna kategori.
Enligt PDPC föreslagna obligatoriska brott rapportering, företag skulle ha att meddela de personer som påverkas av dataintrång “så snart som [det var] det är praktiskt möjligt” att göra så, “om inte undantag eller undantag som gäller”.
“PDPC bör på motsvarande sätt anmälas så snart som möjligt, men inte senare än 72 timmar från och med att organisationen blir medvetna om dataintrång,” det sagt.
Uppdraget var liknande till Europeiska Unionens Allmänna uppgiftsskyddsförordningen (GDPR), som också skulle kräva organisationer för att informera myndigheterna inom 72 timmar efter att ha upptäckt ett dataintrång, om det var sannolikt att sätta drabbade kunder vid risk.
I finjusterande det föreslagna mandatet, Singapore regeringen bör vara tydlig med vad det innebar, sa Bill Taylor-Mountford, LogRhythm: s Asien-Stillahavsområdet Japan vice ordförande.
Sett till ZDNet vid sidan av RSA Conference i Singapore, han sa 72-timmars regeln kan tolkas på olika sätt beroende på hur eller vad som hade identifierats som ett brott. Till exempel, skulle företag vara skyldiga att rapportera–inom 72 timmar-ett dataintrång som hade identifierats av en threat intelligence system.
Singapore universitet överträdelser avslöja bredare angrepp på ytan för att skydda
Regeringen för att öka branschens samarbete och forskning tyder på Singapore behöver en strategi för it-säkerhet som går utöver att begränsa tillgången till internet, som två universitet falla offer för APT-attacker.
Och skulle den 72-timmars klocka börjar ticka när brottet hade upptäckts eller efter att de hade bestämt sig för effekterna och omfattningen av brott, säger Sean Duca, Palo Alto Networks Asien-Stillahavsområdet chief security officer och vice vd.
Han konstaterade att företag kan behöva mer tid för att räkna ut vad som händer, till exempel om ett dataintrång där en bärbar dator hade påverkat andra system i nätverket. “Ibland kan man inte arbeta som anges i 72 timmar,” Duca berättade ZDNet. “Jag tror inte att den 72-timmars mandat är orimligt, men det kommer att vara en utmaning för vissa företag] och vi måste definiera exakt vad det betyder.”
Han sade detta underströks vikten av att köra bordsskiva övningar och övningar för att öka organisationens beredskap i händelse av en verklig strid.
Enligt forskning från Ponemon Institute, finansiella institutioner tog ett genomsnitt på 98 dagar för att upptäcka ett dataintrång medan återförsäljare som tog upp till 197 dagar.
Delar av hot data bör göras enklare
Duca uppmanade också behovet av lagstiftning för att underlätta utbyte av information om hot, vilket var avgörande för att hjälpa industrin att bättre bekämpa angrepp. “Det ska inte vara obligatorisk, men vi måste arbeta fram olika sätt att göra detta lättare,” sade han.
Och i stället för att straffa upplysningar eller aktiviteter som kan oavsiktligt utsätta äventyras system, han uppmanade regeringarna att inte kriminalisera gott uppsåt eller förberedande arbete som syftar till att identifiera potentiella sårbarheter så att dessa kan anslutas.
Han tillade att vissa företag eller enskilda personer kan också vara rädda för att bryta mot lagar om de diskuterade hot data och därmed skulle avstå från att dela sådan information. “Om vi främjar ett bra sätt för folk att prata om det, och uppmuntra detta beteende, då organisationer kommer att vara mer benägna att dela data”, sade han.
Att öka användarnas medvetenhet skulle också vara viktigt med den växande användningen av Internet of Things (IoT) och andra smarta enheter, enligt Gavin Chow, säkerhet strateg på Fortinet FortiGuard Labs.
Konsumenterna måste förstå konsekvenserna av att använda sådana anordningar och ställa frågor när de kände att företagen har passerat linjen, Chow sade i svar på frågor om nyheten att iRobot, som tillverkas Roomba dammsugare, var ute för att sälja kartläggning uppgifter om sina kunders hem.
iRobot VD Colin Angle sade uppgifter som samlats in från Roomba kan bidra till smarta hem-enheter att bättre förstå sin omgivning, såsom matchande ljud system till ett hem akustik.
Innan du köper eller använder IoT-enheter, Chow sa konsumenterna bör ta reda på hur tillverkare planerat att använda sina personliga data och, om de kunde välja bort. Han konstaterade att lagstiftningen skulle kunna hjälpa till att reglera sådan användning, till exempel genom att anlita utrustning som säljs i ett land deklarerade den typ av användardata enheter kommer att samla in och hur tillverkarna skulle använda informationen.
Detta skulle dock sannolikt vara en lång process för att driva igenom och utmanande att genomdriva över gränserna, sade han. Det kan vara särskilt utmanande i Asien-Stillahavsområdet, alltför, eftersom marknaderna var mycket fragmenterad.
Han förklarade att säkerhetsforskare hade hittat ett sätt att hacka sig in i web-anslutna kameror tillverkade i Kina, men stötte på problem när de försökt kontakta tillverkare, av vilka vissa har helt enkelt inte svara. De som gjorde hävdade att de helt enkelt återförsäljare eller Oem-företag (original equipment manufacturers) på enheten och inte kunde fixa felet.
Så att ingen tar ansvar för problemet, Chow och sa att programvaran koder som innehåller sårbarhet möjligen användas i olika OEM-modeller. Han uppmanade konsumenterna att alltid kolla för patchar och uppgraderingar av den inbyggda programvaran för att se till sina hem-enheter såsom routrar, network-attached storage-enheter och skrivare var säkrad.
Duca instämde, betonar behovet för konsumenter att tänka på hur de använder enheten och de risker som förknippas från en integritet och säkerhet. Medan många ansåg att ansvaret bör ligga på tillverkare, han noterade att många av dessa företag drivs på ett lägsta kostnad modell för att få ut sina produkter till marknaden så snabbt och billigt som möjligt.
“Så be leverantören och tillverkaren frågor om hur de använder dina data. Vi alla måste börja tänka om hur vi upprätthåller vår egen säkerhet”, sade han.
Hjälp till Singapore företag om skydd av personuppgifter
Att utveckla “en pålitlig data ekosystem” i Singapore, PDPC sa att det planerar att göra tillgänglig i slutet av året ett online-verktyg för riskbedömning och guider som syftar till att hjälpa företag att skapa ett skydd för förvaltningsplan samt genomföra uppgifter skydd konsekvensbedömningar.
Dessutom ett Skydd för Trustmark certifiering programmet skulle inledas med slutet av 2018, sade Singapore är Minister för Kommunikation och Information Yaacob Ibrahim. Detta skulle tyda på att den organisation som har antagits ljud data praxis och uppdateras regelbundet sina processer, säger Yaacob, som talade torsdag på Skydd av Personuppgifter Seminarium.
Med hänvisning till ett 2016 studie utförd av PDPC, ministern sade att fyra av fem konsumenter här kände sig mer trygga affärer med organisationer som hade varit ackrediterade för att uppfylla standarder för skydd av personuppgifter. “I bedömningen av ansökningar för Trustmark, kommer vi att erkänna företag som har gjort övergången från ren överensstämmelse ansvar,” sade han.
“Det är inte möjligt för PDPC att fånga varje enskild överträdelse. I stället måste företagen spelar sin roll,” Yaacob noteras. “Organisationer måste ändra sitt tankesätt [och] inte visa data skydd som en ren överensstämmelse motion, utan snarare som ett ansvar skänkt dem av deras kunder, och helt integreras i den organisatoriska kultur av förvaltarskap och ansvarstagande.”
Han sade också att regeringen insett värdet av data och vikten av att underlätta, och inte hindrar användning av data för att förbättra tillhandahållandet av tjänster. E-handel aktörer, till exempel, skulle behöva dela kunduppgifter med sin logistik partner för att leverera inköp.
“Även när vi uppmanar företag att vara ansvarig för de uppgifter som de samlar in och använder, vi vill också uppmana dem att använda data på ett meningsfullt sätt till att driva tillväxt och innovation”, konstaterade ministern. “Data, som en gång samlas in, kan generera värde, inte bara för organisationen att samla in data, men också för andra långt bort från den inledande kontakten.”
“Vi vill uppmuntra de som är ansvariga dela personuppgifter i syfte att skapa värde för vår ekonomi” Yaacob läggas till, att notera att PDPC skulle publicera en guidebok till “klarhet” på hur företag kan dela data.
Fem år efter Singapore införde PDPA, han sa att det var dags att se över och uppdatera lagstiftningen för att säkerställa att det stöd innovativ användning av data.
Bortsett från dataintrång anmälan, andra föreslagna ändringar ingår Anmälan av Syfte, som skulle vara grunden för “den insamling, användning eller utlämnande av personuppgifter om samtycke är inte praktiskt möjligt eller önskvärt att genom förbättrade metoder”, sade PDPC.
Det sade (data protection act) som för närvarande främst inriktad på individuellt samtycke utgör en viktig grund för företag att samla in, använda och lämna ut personuppgifter. Detta bör kvarstå som en grundläggande princip, det noteras, att lägga till att organisationer alltid bör sträva efter att få användarnas samtycke “där det är möjligt”, i synnerhet om insamling, användning eller utlämnande av uppgifter skulle kunna påverka eller utgöra risker för den enskilde.
0