säkerhets förfaller Singapore streck behöver för riskbedömning

Med en säkerhets landskap som är alltmer utmanande samt utvecklas, där lagstiftningen inklusive gränsöverskridande politik förblir flytande, företag och konsumenter behöver för att bedöma deras potentiella risker och avgöra hur mycket de är villiga att absorbera.

Detta har blivit mycket tydligt den här veckan där, två separata säkerhetsincidenter i Singapore, ifrågasatt förmåga tjänsteleverantörer att adekvat skydda sina nätverk, och som sådana, personuppgifter om sina kunder. Framför allt har K Box Singapore kommit in mycket kontroll för att äventyra personuppgifter om sina mer än 317.000 medlemmar efter sin databas har åsidosatts av en hacker grupp, kallad knowns. Kundinformation inklusive e-postadress, telefonnummer, födelsedatum, och medlemskap detaljer såsom antalet bonuspoäng intjänade har enligt uppgift varit läckt ut.

Vid en workshop i morse, Bryan Tan, delägare i Pinsent Masons och advokat som specialiserat sig på teknik, konstaterade att två viktiga frågor måste lösas i K Box brott. För det första kan bolaget har brutit, Singapore Personuppgiftslagen, (PDPA) om det samlas in personuppgifter utan kundens medgivande. För det andra kan det behöva nu visa det visade due diligence i företaget rimliga säkerhetsåtgärder för att skydda sin databas och IT-system, förklarade Tan.

De PDPA mandat att företag som är verksamma i Singapore är skyldiga att “skydda personuppgifter i sin besittning eller under dess kontroll genom att göra rimliga säkerhetsarrangemang för att förhindra obehörig åtkomst, insamling, användning, avslöjande, kopiering, ändring, bortskaffande eller liknande risker”.

Rullas ut i etapper, bestämmelser i lagen i samband med Do-Not-Call (DNC) registret trädde i kraft den 2 januari 2014 medan de viktigaste dataskyddsreglerna trädde i kraft den 2 juli 2014 så företagen skulle ha tid att granska och vidta nödvändiga åtgärder för att säkerställa efterlevnaden.

Lokal utbildningsföretag, Star Zest hemundervisning, var det första företaget som laddas under DNC registret i juni för att kontakta och marknadsföra sina tjänster till potentiella kunder utan att först få tillstånd.

Bör K Box hittas för att ha brutit mot PDPA, skulle det vara det första företaget att laddas under de centrala bestämmelser i lagen, som bär högre straff än de som beskrivs under DNC registret noterade Tan.

Persondataskyddsmyndigheten (PDPC) investerar för närvarande händelsen. Tills det avslutar sin utredning och släpper sina slutsatser, kommer kunder K Box inte kunna initiera någon privat rättsliga åtgärder om de skulle vilja att söka rättslig prövning för kränkning av deras privatliv, sade han.

Som beskriver den säkerhetsöverträdelse, FireEye Asia-Pacific CTO Bryce Boland sade: “Med tanke på vilken typ av webbplats K Box kördes, angriparna använde troligen en SQL-injektion sårbarhet i ansökan att återvinna användardatabasen Förövare inte skulle behöva mycket IT. erfarenhet och de verktyg som krävs för att genomföra ett sådant brott är båda tillgängliga på nätet och lätt att använda.

“Tyvärr har många företag fortfarande inte fullt ut inser omfattningen av deras sårbarhet tills sådan massiv dataläckage offentliggörs”, sade han.

Kunder till amerikanska molnleverantörer bör allvarligt tänka deras anställningskontrakt, efter en amerikansk domare motbjudande beslut att lokala husrannsakan måste innehålla kunddata lagras utomlands.

Mitt i denna skenbara dimma säkerhets okunnighet, har det blivit iögonfallande klart att företag och konsumenter inte har råd att blint överens om att användarvillkor eller acceptera serviceavtal utan att först utvärdera de potentiella riskerna.

För att ytterligare murk upp vatten, regler kring nyare teknik som moln och sakernas Internet fortsätter att utvecklas och mycket är fortfarande oklart hur olika jurisdiktioner runt om i världen hantera fall där sådana distributioner.

Cloud data, till exempel, antogs utom räckhåll för gränsöverskridande lagstiftning om det sitter utanför värdlandet. Men en New York-baserade amerikanska Magistrate Judge James Francis i juni slog fast att, lokala husrannsakan måste innehålla kunddata lagras i servrar som är placerade utanför, USA, med hänvisning till ett fall som gäller en husrannsakan utfärdas till Microsoft för en kunds e-post data som lagras i Dublin, Irland. Datacentret rymmer europeiska medborgare uppgifter.

Microsoft fortfarande utmanande avgörandet, men det belyser, mycket tvetydighet över kunddata suveränitet, värd i molnet.

Jag frågade Neil McInnes, en partner på Pinsent Masons och advokat som specialiserat sig på företags brott, för hans tankar och han erkände att det fanns fortfarande gråzoner rörande sådana lagstiftning, särskilt när det finns motstridiga regler för dataskydd över hela världen.

Indien “antikoloniala” till den ekonomiska skada: Marc Andreessen i osammanhängande Twitter rant, LG Pay kommer att vara en ingen show på MWC: Rapportera; Singtel krymper nettovinst av SG $ 16m, Facebook drar gratis Basics projekt i Indien, Samsung att ge den allmänna säkerheten nätverk i Sydkorea

För att hantera sådana problem, McInnes manade företag som funderar på att anta molntjänster eller teknik som innebär potentiellt kontroversiella rättsliga frågor, att noggrant överväga och bedöma riskerna och bestämma hur mycket de är villiga att absorbera.

Du måste tänka på hur systemen är utformade och hur du ska hantera dessa utmaningar och sysmatic risk “, sade han.” Tillsynsmyndigheter rutinmässigt, enligt min erfarenhet, kommer inte nödvändigtvis att vara välvilligt [mot företag].

“Så skulle jag föreslå företag gör riskreducerande bedömning, anser de olika lagstiftningar som kan påverka deras verksamhet, och bestämma om de vill, till exempel, anta molntjänster. De måste överväga om de är beredda att möta risken och hur de skulle svara på de potentiella riskerna om de antagit en viss digital strategi “, förklarade han.

? M2M marknaden studsar tillbaka i Brasilien

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Motstridiga globala lagstiftning höjdpunkt behov av riskreducerande bedömning