0
Singapores regering skal ikke kriminalisere cybersecurity aktiviteter, der gennemføres med en god hensigt for at fremme udvekslingen af værdifulde trussel oplysninger, som vil hjælpe industrien bedre bekæmpelse af angreb.
Det bør også klart at definere sit forslag til mandat, der ville tvinge organisationer for at rapportere en bruddet inden for 72 timer, især da det typisk tager flere uger eller endda måneder, før en svaghed, blev identificeret.
Singapores regering på torsdag diskuteret, om indførelsen af en ny afgørelse, i henhold til Loven om Beskyttelse af Personoplysninger (PDPA), som ville kræve organisationer for at rapportere brud på datasikkerheden inden for 72 timer.
De ville have til at indberette sådanne hændelser til de berørte kunder samt Beskyttelse af Personoplysninger Kommissionen (PDPC), som overvågede handle. Farten vil give forbrugerne mulighed for at tage skridt til at beskytte sig selv fra enhver potentiel risiko, sagde kommissionen.
Den obligatoriske brud rapport også vil give PDPC at få et klarere overblik over forekomst og håndtering af data, brud på nationalt niveau, der sagde, tilføjer, at det ville give vejledning til de berørte organisationer om afhjælpende foranstaltninger til at tage.
Regeringen agentur bemærkede, at det var opmærksom på ikke at pålægge “for kostbar af de reguleringsmæssige byrder” på virksomheder eller forårsage “meddelelse, træthed” hos enkeltpersoner. Derfor, den foreslåede lov vil kræve, at berørte kunder skal meddeles kun, når der var en risiko for stød eller skade.
Den PDPC også skal være meddelt, hvor der var betydeligt omfang af brud, for eksempel, hvis overtrædelsen er involveret personlige oplysninger om mere end 500 personer.
I tilfælde, hvor organisationer, der var påkrævet i henhold til særlig lovgivning til at rapportere om brud på datasikkerheden til retshåndhævende myndigheder, eller ministeriet fører tilsyn med deres industri, PDPC bør underrettes samtidig. Det sagde, at dette var med henblik på at minimere de administrative byrder for organisationer, der er underlagt overlappende krav på at hæve en alarm i tilfælde af brud på datasikkerheden.
Data formidlere, der behandles personoplysninger på vegne af en anden organisation, skal underrette organisationen om alle tilfælde af brud på datasikkerheden straks, PDPC sagde. Dette vil sætte organisationen i stand til hurtigere at vurdere karakteren af overtrædelsen og afgøre, om de var forpligtede til at meddele de nødvendige offentlige institutioner.
I henhold til Singapore ‘ s foreslåede national cybersikkerhed lovforslag, operatører af kritisk informationsinfrastruktur (CII) ville være forpligtet til at rapportere cybersecurity hændelser “inden for den fastsatte frist” efter den begivenhed, blandt andre obligatoriske pligter. Singapores regering havde opført 11 områder, der anses for at eje kritisk Informationsinfrastruktur, herunder vand -, sundheds -, sø -, medie -, infocom -, energi-og luftfart. Den offentlige sektor i sig selv var en del af denne kategori.
Ifølge PDPC foreslåede obligatoriske brud rapportering, virksomheder ville have til at orientere de berørte personer af de data, brud “, så snart [det var] det er praktisk muligt” at gøre det, “medmindre en undtagelse eller fritagelse finder anvendelse”.
“PDPC bør ligeledes være meddelt så hurtigt som muligt, men ikke senere end 72 timer fra det tidspunkt, hvor organisationen bliver opmærksom på de data, brud,” sagde det.
Mandatet var magen til den Europæiske Unions Generel Forordning om databeskyttelse (GDPR), som også ville kræve, at organisationer, at underrette myndighederne inden for 72 timer efter at have opdaget et brud på datasikkerheden, hvis det var sandsynligt, at sætte de berørte kunder i fare.
I finjusterende denne foreslåede mandat, Singapores regering bør være klar over, hvad det indebar, sagde Bill Taylor-Mountford, LogRhythm ‘ s Asia-Pacific og Japan vice president.
Tale til ZDNet på sidelinjen af RSA-Konferencen i Singapore, han sagde den 72-timers reglen kunne fortolkes forskelligt afhængigt af, hvordan eller hvad der var blevet identificeret som et brud. For eksempel, vil virksomhederne være forpligtet til at rapportere–inden for 72 timer-data, brud, der var blevet identificeret som en trussel intelligence system.
Singapore university brud afsløre bredere angreb overflade for at beskytte
Regeringens stigende industri samarbejde og indsats for forskning tyder på, Singapore behov for en cybersecurity strategi, der går ud over det, der begrænser adgang til internettet, som to universiteter falder bytte for APT-angreb.
Og ville den 72-timers uret begynder at tikke, når bruddet var blevet identificeret, eller efter at de havde konstateret, konsekvenserne og omfanget af overtrædelsen, sagde Sean Duca, Palo Alto Networks’ Asia-Pacific-chef sikkerhed officer og næstformand.
Han bemærkede, at virksomheder kan have brug for mere tid til at finde ud af, hvad der foregik, for eksempel om et brud på datasikkerheden, der involverer en laptop havde påvirket andre systemer i netværket. “Nogle gange, at du ikke kan arbejde, ud i 72 timer,” Duca fortalte ZDNet. “Jeg tror ikke, at den 72-timers mandat er urimeligt, men det vil være udfordrende [for nogle virksomheder], og vi er nødt til at definere præcis, hvad det betyder.”
Han sagde, at dette yderligere understreges vigtigheden af at køre praktiske øvelser og øvelser til at øge organisationens beredskab i tilfælde af et egentligt brud.
Ifølge forskning fra Ponemon Institute, finansielle institutioner tog et gennemsnit på 98 dage til at påvise et brud på datasikkerheden, mens forhandlere tog op til 197 dage.
Deling af trussel data skal gøres nemmere
Duca også skabte behov for lovgivning for at gøre det lettere at udveksle trusselsoplysninger, som var afgørende for at hjælpe branchen bedre at bekæmpe angreb. “Det bør ikke være obligatorisk, men vi er nødt til at arbejde ud af måder at gøre det nemmere,” sagde han.
Og i stedet for at straffe oplysninger eller aktiviteter, der kan utilsigtet udsætter kompromitterede systemer, han opfordrede regeringer til ikke at kriminalisere en god hensigt eller det forberedende arbejde med henblik på at identificere potentielle sårbarheder, så disse kan blive tilsluttet.
Han tilføjede, at nogle virksomheder eller enkeltpersoner, måske frygte at krænke privatlivets fred, hvis de diskuteret trussel data og, derfor, vil afstå fra at udveksling af sådanne oplysninger. “Hvis vi fremmer en god måde for folk at tale om det og opfordre til, at adfærd, så organisationer vil være mere tilbøjelige til at dele data,” sagde han.
Brugernes øgede bevidsthed vil også være af afgørende betydning med den stigende indførelse af Internet of Things (IoT) og andre smart enheder, i henhold til Gavin Chow, sikkerhed strateg på Fortinet FortiGuard Labs.
Forbrugerne skal forstå konsekvenserne af at bruge disse enheder, og stille spørgsmål, når de følte, at virksomheder, der krydsede linjen, Chow sagde i svaret til spørgsmål om nyheder, som iRobot, der er fremstillet Roomba støvsugere, var på udkig for at sælge kortlægning data på deres kunders hjem.
iRobot CEO Colin Angle sagde data, der er indsamlet fra Roomba kan hjælpe intelligente hjem udstyr til bedre at forstå deres omgivelser, som matcher lydsystemer til hjem akustik.
Før du køber eller bruger IoT-enheder, Chow sagde, at forbrugerne skal finde ud af, hvordan producenterne planlagde at bruge deres personlige data, og om de kan fravælge. Han bemærkede, at lovgivningen kunne hjælpe med at styre denne brug, for eksempel, ved at overdrage udstyr, der sælges i et land, erklærede den slags bruger data enheder vil indsamle, og hvordan producenterne vil bruge oplysningerne.
Dog, dette vil sandsynligvis være en lang proces at komme igennem og udfordrende at håndhæve på tværs af grænserne, sagde han. Det kan især være en udfordring i Asien-Pacific, også fordi markederne var meget fragmenteret.
Han forklarede, at sikkerhed forskere, for eksempel, havde fundet en måde at hacke sig ind i web-tilsluttede kameraer, der er lavet i Kina, men løb ind i vanskeligheder, når de har forsøgt at kontakte de producenter, hvoraf nogle havde simpelthen ikke svare på. Dem, der gjorde, hævdede de var simpelthen forhandlere eller Oem ‘ er (original equipment manufacturers) af enheden, og var ude af stand til at løse sårbarhed.
Så ingen tog ejerskab over problemet, Chow sagde, tilføjer, at software-koder, der indeholder den sårbarhed, som blev muligvis anvendt i forskellige OEM-modeller. Han opfordrede forbrugerne til altid at kontrollere for patches og firmware-opgraderinger til at sikre deres hjem udstyr såsom routere, network-attached storage-enheder og printere blev sikret.
Duca var enige om, at det understreger behovet for forbrugerne til at tænke over, hvordan de var at bruge enheden, og de tilknyttede risici fra et privatliv og sikkerhed synspunkt. Mens mange har ment, at det bør være på de producenter, han bemærkede, at mange af disse virksomheder drives på en laveste pris model for at få deres produkter ud på markedet så hurtigt og billigt som muligt.
“Så spørg leverandøren og producenten spørgsmål om, hvordan de bruger dine data. Vi er alle nødt til at begynde at tænke over, hvordan vi bevarer vores egen sikkerhed,” sagde han.
Hjælp til Singapore virksomheder om beskyttelse af data
At udvikle “en tillid til data økosystem” i Singapore, PDPC sagde det planlagt at stille til rådighed ved årets udgang et online redskab til vurdering af og vejledninger med henblik på at hjælpe virksomheder til at etablere en data protection plan for forvaltning samt gennemføre konsekvensanalyser vedrørende databeskyttelse.
Hertil kommer, at en Beskyttelse af personoplysninger Mærkningsordningens certificering programmet vil blive lanceret ved udgangen af 2018, sagde Singapores Minister for Kommunikation og Information Yaacob Ibrahim. Dette kunne indikere, at den organisation, der er vedtaget lyd data praksis og opdateres regelmæssigt, at dens processer, sagde Yaacob, der talte torsdag ved Beskyttelse af Personoplysninger, Seminar.
Med henvisning til 2016 undersøgelse foretaget af PDPC, minster sagde, at fire ud af fem forbrugere, der her følte sig mere trygge ved at indgå sammen med organisationer, der var blevet akkrediteret til møde-standarder for beskyttelse af personoplysninger. “I vurderingen af ansøgninger om Garantimærke, vi vil anerkende virksomheder, der har gjort overgangen fra simpel overholdelse af ansvarlighed,” sagde han.
“Det er ikke muligt for PDPC at fange hver enkelt brud. I stedet skal virksomhederne spille deres rolle,” Yaacob er angivet. “Organisationer, der skal ændre deres tankegang [og] ikke udsigt til beskyttelse af personoplysninger som en simpel overholdelse af motion, men snarere som et ansvar, skænket til dem af deres kunder, og er fuldt integreret i den organisatoriske kultur i forvaltning og ansvarlighed.”
Han sagde, at regeringen også har anerkendt værdien af data og betydningen af at fremme og ikke hindre, data-forbrug for at forbedre service. E-handel aktører, for eksempel, ville behovet for at dele kundedata med deres logistik partnere til at levere et køb.
“Lige som vi opfordrer virksomheder til at være ansvarlige for de data de indsamler og bruger, vi ønsker også at opfordre dem til at bruge data på en meningsfuld måde til at skabe vækst og innovation,” ministeren sagde. “Data, når de er indsamlet, kan generere værdi, ikke kun for den organisation, der indsamler data, men også for andre, der ligger langt fra den første kontakt”.
“Vi ønsker at fremme ansvarlig for deling af personlige data med henblik på at skabe værdi for vores økonomi,” Yaacob tilføjet, at bemærke, at PDPC ville offentliggøre en vejledning til at “skabe klarhed” om, hvordan virksomheder kan udveksle data.
Fem år efter Singapore indførte PDPA, han sagde, at det var tid til at gennemgå og opdatere lovgivningen at sikre, at det understøttes af innovative anvendelser af data.
Bortset fra de data, brud anmeldelse, andre foreslåede ændringer i prisen Anmeldelse af Formålet, som vil være grundlaget for “indsamling, brug eller videregivelse af personlige data, hvor samtykke ikke er praktisk muligt eller ønskeligt gennem øget tilgang”, sagde PDPC.
Det sagde data protection act i øjeblikket primært fokuseret på individuelle samtykke som et centralt grundlag for virksomhederne til at indsamle, bruge og videregive personlige data. Dette bør være et grundlæggende princip, og det bemærkes, at tilføje, at organisationer altid bør søge at indhente brugerens samtykke “, hvor det er muligt”, navnlig hvis indsamling, brug eller videregivelse af data vil kunne få en negativ indflydelse på eller udgør en risiko for den enkelte.
0