0
Die Regierung in Singapur, sollten Sie nicht kriminalisieren cybersecurity-Aktivitäten durchgeführt, die mit guter Absicht, um Sie zu ermutigen, den Austausch von wertvollen Bedrohung Informationen, die der Industrie helfen, bessere Kampf-Attacken.
Es sollte auch klar definieren, das von Ihr vorgeschlagene Mandat, zwingen Organisationen zu berichten, die eine Verletzung der Datensicherheit, die innerhalb von 72 Stunden, besonders da es in der Regel dauerte Wochen oder sogar Monate, bevor eine Schwachstelle identifiziert wurde.
Die Regierung in Singapur am Donnerstag zur Diskussion Stand die Einführung einer neuen Regelung, die unter das Gesetz zum Schutz Personenbezogener Daten (dvpa), würde das erfordern von Organisationen Bericht Datenschutzverletzungen innerhalb von 72 Stunden.
Hätten Sie die Meldung solcher Vorfälle an die betroffenen Kunden wie auch für die Personal Data Protection Commission (PDPC), die für die Handlung. Der Schritt würde den Verbrauchern die Gelegenheit zu ergreifen, um sich selbst zu schützen vor möglichen Gefahr, erklärte die Kommission.
Die obligatorische Verletzung Bericht auch erlauben würde, die PDPC haben einen besseren überblick über Fälle und das management von Daten-Verstöße auf nationaler Ebene, sagte er, hinzufügen, dass es Leitlinien für die betroffenen Organisationen auf Sanierungsmaßnahmen zu ergreifen.
Die Behörde merkte an, es sei achtsam, nicht zu verhängen “übermäßig belastende regulatorische Belastungen” für die Unternehmen verursachen oder die “Benachrichtigungs-Müdigkeit” unter Individuen. Daher, das vorgeschlagene Gesetz würde erfordern, die betroffenen Kunden werden nur dann benachrichtigt, wenn es eine Gefahr der Wirkung oder Schaden.
Die PDPC auch muss mitgeteilt werden, wo es beträchtliche Ausmaß der Verletzung, zum Beispiel, wenn die Verletzung beteiligt, die personenbezogene Daten von mehr als 500 Personen.
In Fällen, In denen Organisationen erforderlich waren, die unter eine gesonderte Gesetzgebung zu berichten, eine Verletzung der Datensicherheit, um die Strafverfolgungsbehörden oder das Ministerium die überwachung Ihrer Industrie, die PDPC informiert werden sollen, gleichzeitig. Er sagte diese zielte auf die Verringerung der verwaltungslasten für Organisationen unterliegen überlappenden Anforderungen auf eine Warnung ausgelöst wird, im Falle einer Verletzung der Datensicherheit.
Daten-Vermittler, die verarbeitet personenbezogene Daten im Auftrag einer anderen organisation verpflichtet, der organisation von Daten, die Verletzung sofort, die PDPC sagte. Dies würde es ermöglichen die organisation, um schnell bewerten die Art der Verletzung und festzustellen, ob Sie erforderlich, dass Sie die notwendigen Behörden.
Unter Singapurs vorgeschlagenen nationalen cybersecurity bill, Betreiber von kritischen Informations-Infrastrukturen (CII) wäre erforderlich, um Cyber-Vorfälle “innerhalb der vorgeschriebenen Frist” nach der Veranstaltung, unter anderem verbindliche Pflichten. Die Regierung von Singapur hatte aufgelistet, 11 Sektoren als eigene Kii, einschließlich Wasser, Gesundheit, See -, Medien -, infocom, Energie und Luftfahrt. Der öffentliche Sektor selbst war Teil dieser Kategorie.
Nach PDPC die vorgeschlagene obligatorische Verletzung Berichterstattung, die Unternehmen hätten zur Benachrichtigung der betroffenen Personen von dem Verstoß gegen den Datenschutz “, sobald [es war] durchführbar” zu tun, “es sei denn, eine Ausnahme oder Befreiung gilt”.
“PDPC sollte ebenso werden benachrichtigt wird, sobald durchführbar, jedoch nicht später als 72 Stunden ab dem Zeitpunkt der organisation Kenntnis von der Verletzung der Datensicherheit”, sagte Sie.
Der Auftrag war ähnlich wie die Europäische Union General Data Protection Regulation (GDPR), die würden auch verlangen, dass die Organisationen an die Behörden zu Benachrichtigen, die innerhalb von 72 Stunden nach der Entdeckung einer Verletzung der Datensicherheit, wenn es sehr wahrscheinlich betroffenen Kunden in Gefahr.
In der Feinabstimmung das vorgeschlagene Mandat, die Regierung von Singapur sollte klar sein, was dies bedeutete, sagte Bill Taylor-Mountford, LogRhythm die Asien-Pazifik-Japan Vize-Präsident.
Sprechen ZDNet am Rande der RSA-Konferenz in Singapur, sagte er der 72-Stunden-Regel könnte unterschiedlich interpretiert werden, je nachdem, wie oder was identifiziert worden waren, als eine Verletzung. Zum Beispiel würden Unternehmen verpflichtet–innerhalb von 72 Stunden–ein Verstoß gegen den Datenschutz, die gewesen identifiziert durch ein threat intelligence-system.
Singapore university Verstöße aufzudecken breitere Angriffsfläche zu sichern
Regierung, die zunehmende Zusammenarbeit mit Industrie und Forschung die Anstrengungen vorschlagen, Singapur braucht eine cybersecurity-Strategie, geht über die Begrenzung internet-Zugang, zwei Universitäten zum Opfer fallen, um APT-Angriffe.
Und wäre die 72-Stunden-Uhr zu starten tickt, sobald die Verletzung festgestellt worden waren, oder nachdem Sie hatten festgestellt, dass die Auswirkungen und das Ausmaß der Verletzung, sagte Sean Duca, Palo Alto Networks Asia-Pacific chief security officer und vice president.
Er merkte an, dass Unternehmen möglicherweise mehr Zeit benötigen, um herauszufinden, was Los war, zum Beispiel, ob ein Verstoß gegen den Datenschutz mit einem laptop hatte, beeinflusst andere Systeme im Netzwerk. “Manchmal kann man nicht arbeiten, dass in 72 Stunden,” Duca sagte ZDNet. “Ich glaube nicht, dass die 72-Stunden-Mandats unzumutbar ist, aber dass es schwierig sein wird [für Unternehmen], und wir müssen genau definieren, was das bedeutet.”
Er sagte, dies Unterstrichen die Bedeutung der Laufenden tabletop-übungen und übungen zur Erhöhung der organisation, die Bereitschaft im Falle einer tatsächlichen Verletzung.
Nach der Forschung von Ponemon Institute, Finanzinstitute nahm im Durchschnitt 98 Tage zu erkennen, dass eine Verletzung der Datensicherheit während die Einzelhändler nahmen bis zu 197 Tagen.
Austausch von threat-Daten soll erleichtert werden
Duca forderte auch die Notwendigkeit der Gesetzgebung die Förderung des Austauschs von Bedrohung Informationen, die entscheidend bei der Unterstützung der Industrie-Angriffe besser zu bekämpfen. “Es sollte nicht zwingend notwendig sein, aber wir müssen herausfinden, Möglichkeiten, um dies zu erleichtern”, sagte er.
Und anstatt zu sanktionieren Angaben oder Aktivitäten, die möglicherweise unbeabsichtigt aussetzen kompromittierte Systeme, ermutigte er die Regierungen nicht unter Strafe zu stellen, in guter Absicht oder explorative Arbeit zielt auf die Identifizierung potenzieller Schwachstellen, so könnten diese angeschlossen werden.
Er fügte hinzu, dass einige Firmen oder Einzelpersonen, die möglicherweise Angst vor Verletzung der Privatsphäre Gesetze, wenn Sie diskutiert bedrohlich Daten und damit würde es unterlassen, diese Informationen zu teilen. “Wenn wir fördern eine gute Möglichkeit für Leute, die darüber reden und Sie ermutigen, Verhaltensweisen, dann Organisationen werden eher, um Daten auszutauschen”, sagte er.
Steigerung des Bewusstseins der Anwender auch von zentraler Bedeutung mit der zunehmenden Verbreitung des Internet der Dinge (IoT) und andere smart-Geräte, laut Gavin Chow, security Stratege bei Fortinet FortiGuard Labs.
Die Verbraucher müssen verstehen, die Auswirkungen der Verwendung solcher Geräte und Fragen aufwerfen, als Sie fühlte, Unternehmen die Linie überquert, Chow sagte in Antwort auf Fragen über die Nachricht, dass iRobot, die hergestellt Roomba saugt, war auf der Suche, um zu verkaufen-mapping-Daten Ihrer Kunden zu Hause.
iRobot CEO Colin Angle sagte, die Daten, die aus der Roomba könnte helfen, smart-home-Geräten Ihre Umgebung besser zu verstehen, wie die passende sound-Systeme für ein Haus der Akustik.
Vor dem Kauf oder die Nutzung von IoT-Geräten, Chow sagte, die Verbraucher sollten herausfinden, wie die Hersteller geplant, um Ihre persönlichen Daten und ob Sie ein opt-out. Er stellte fest, dass die Gesetzgebung könnte helfen zu regieren, eine solche Nutzung, zum Beispiel durch Beauftragung Ausrüstungen verkauft in einem Land, erklärt die Art von user-Daten der Geräte sammeln und wie die Hersteller würden die Informationen nutzen.
Dies würde jedoch wahrscheinlich ein langer Prozess sein, durch drücken und herausfordernde durchzusetzen, die über die Grenzen hinweg, sagte er. Es könnte besonders schwierig sein, in Asien-Pazifik, auch, weil die Märkte waren stark fragmentiert.
Er erklärte, dass die Sicherheits-Forscher, zum Beispiel, hatte einen Weg gefunden, um das hacken von web-verbundenen Kameras made in China, sondern lief in Schwierigkeiten, wenn Sie versuchten, Kontakt zu den Herstellern, von denen einige einfach nicht zu reagieren. Diejenigen, die nicht behauptet, Sie seien nur Händler oder OEMs (original equipment manufacturers) von dem Gerät und nicht in der Lage waren um die Sicherheitslücke zu beheben.
Damit niemand nahm Besitz von dem problem, Chow sagte, fügte hinzu, dass die software-codes, die mit der Sicherheitsanfälligkeit möglicherweise wurden in verschiedenen OEM-Modelle. Er forderte die Verbraucher immer überprüfen, für patches und firmware-upgrades, um sicherzustellen, dass Ihre home-Geräte, wie Router, network-attached-storage-Geräte und Drucker wurden gesichert.
Duca übereingestimmt, und betonte die Notwendigkeit für die Verbraucher, um zu überlegen, wie Sie mit dem Gerät und den damit verbundenen Risiken von Datenschutz-und Sicherheitsaspekten. Während viele glaubten, dass die Beweislast sollte sein, auf dem Hersteller, stellte er fest, dass viele dieser Unternehmen operieren auf einer kostengünstigste Modell, um Ihre Produkte auf den Markt bringen, so schnell und so Billig wie möglich.
“So Fragen Sie den Lieferanten und den Hersteller Fragen, wie Sie die Verwendung Ihrer Daten. Wir alle müssen anfangen, darüber nachzudenken, wie wir die Pflege unserer eigenen Sicherheit”, sagte er.
Hilfe für Singapur Unternehmen zum Datenschutz
Zu entwickeln, “ein zuverlässiger Daten-ökosystem” in Singapur, die PDPC sagte, es geplant, zur Verfügung zu stellen bis zum Ende des Jahres ein online-assessment-tool und Anleitungen zur Unterstützung von Unternehmen, die Schaffung eines Datenschutz-management-plan sowie Durchführung Datenschutz-Folgenabschätzungen.
Darüber hinaus ein Datenschutz-Vertrauenssiegel Zertifizierungs-Programm eingeleitet werden, bis Ende 2018, sagte Singapurs Minister für Kommunikation und Information Yaacob Ibrahim. Dies würde bedeuten, dass die organisation übernommen-sound-data-Praktiken und regelmäßig aktualisiert seine Prozesse, sagte Yaacob, wer gerade Sprach am Donnerstag auf den Schutz Personenbezogener Daten Seminar.
Unter Berufung auf eine 2016-Studie von PDPC, das Münster sagte: vier von fünf Konsumenten hier fühlte sich sicherer Transaktionen mit Organisationen, die akkreditiert für die Erfüllung der Schutz personenbezogener Daten-standards. “Bei der Beurteilung von Anträgen für die Trustmark, werden wir erkennen, Unternehmen, die den übergang von der bloßen Einhaltung der Rechenschaftspflicht”, sagte er.
“Es ist nicht möglich, für die PDPC zu fangen, jede einzelne Verletzung. Stattdessen müssen die Unternehmen Ihren Beitrag leisten,” Yaacob hingewiesen. “Organisationen müssen sich ändern Sie Ihre Denkweise, [und] nicht anzeigen Datenschutz als Reine compliance-übung, sondern als eine Verantwortung auferlegt, die Ihnen durch Ihre Kunden und voll integriert in die Organisations-Kultur der Verantwortung und Verantwortlichkeit.”
Er sagte, die Regierung erkennt auch den Wert von Daten und die Bedeutung der Erleichterung und nicht Behinderung, Nutzung von Daten zur Verbesserung der service-Lieferung. E-commerce-Betreiber, zum Beispiel, werden Sie brauchen, um die Kundendaten mit Ihren Logistik-Partnern die Lieferung der Einkäufe.
“Auch da fordern wir die Unternehmen, Verantwortung für die Daten, die Sie sammeln und verwenden, wir wollen auch, Sie zu ermahnen, die Daten sinnvoll zu Wachstum und innovation”, sagte die Ministerin. “Daten, die einmal erfasst, können Sie generieren nicht nur einen Mehrwert für die organisation, das sammeln der Daten, sondern auch für andere, weit entfernt von der ersten Ansprechpartner.”
“Wollen wir fördern die verantwortungsvolle Weitergabe von persönlichen Daten, um Wert zu schaffen für unsere Wirtschaft,” Yaacob Hinzugefügt, feststellend, dass die PDPC würde der Verlag ein Ratgeber zu “Klarheit” auf, wie Unternehmen könnten die Daten austauschen.
Fünf Jahre nach Singapur eingeführt, die die dvpa), er sagte, dass es Zeit war, zur überprüfung und Aktualisierung der Rechtsvorschriften, um sicherzustellen, dass es unterstützt innovative Nutzungen von Daten.
Abgesehen von der data breach notification, anderen vorgeschlagenen änderungen enthalten die Benachrichtigung der Zweck, das wäre die Grundlage für “die Sammlung, Nutzung oder Offenlegung von personenbezogenen Daten, soweit diese Zustimmung ist nicht praktikabel oder wünschenswert, durch eine verbesserte Ansätze”, sagte der PDPC.
Er sagte, dass die Daten-Schutz-Tat der Fokus derzeit vor allem auf die individuelle Einwilligung als eine wesentliche Grundlage für die Unternehmen zu sammeln, verwenden und offenlegen von persönlichen Daten. Dies sollte weiterhin als ein grundlegendes Prinzip, hieß es, fügte hinzu, dass Organisationen immer versuchen sollte zu erhalten, die Zustimmung der Nutzer “wo es möglich ist”, insbesondere, wenn die Sammlung, Verwendung oder Offenlegung von Daten könnten negative Auswirkungen oder Gefahren für den einzelnen.
0