Stanno arrivando leggi obbligatorie sulla notifica della violazione dei dati e le aziende ne dovranno affrontare le conseguenze se non saranno preparate, afferma il commissario aggiunto alla conformità dell'OAIC.
Secondo l’Office of the Australian Information, la legislazione sulla notifica della violazione dei dati è inevitabile L'assistente commissario per la conformità del Commissario (OAIC), Mark Hummerston, e le organizzazioni devono prepararsi loro stessi.
Intervenendo questa mattina al SecureSydney 2012, Hummerston ha fornito il suo punto di vista personale sullo stato delle violazioni dei dati in Australia e sulla legislazione pendente.
"Non sono una persona che scommette, ma scommetterei che vedremo uno schema obbligatorio di notifica di violazione dei dati in Australia probabilmente introdotto alla fine del prossimo anno, con alcuni provvedimenti provvisori tempo affinché le persone possano agire in ordine", ha affermato, lanciando anche un avvertimento alle aziende che non hanno ancora preso le giuste precauzioni per salvaguardare gli utenti informazione.
"Accadrà in Australia, [e] le organizzazioni devono essere pronte perché quando accadrà, ci sarà meno tolleranza da parte del mio ufficio."
Nell'indagare sulle aziende che hanno subito una violazione dei dati, Hummerston ha affermato che l'ufficio è molto accurato a causa della natura basata sui principi della legge sulla privacy. L'Australia non ha leggi che stabiliscono chiaramente quando la privacy di qualcuno è stata violata, ma piuttosto una serie di principi (attualmente in fase di riforma) a cui spesso è possibile aderire interpretazione.
"Il principio richiede che un'organizzazione adotti misure ragionevoli per proteggere le informazioni personali coinvolte da uso improprio e perdita, nonché da accesso o divulgazione non autorizzati. Gran parte del lavoro che svolgo riguarda 'quali sono le misure ragionevoli?'"
Ciò significa che per ogni violazione, l’OAIC deve valutare attentamente i dati detenuti dall’organizzazione e determinare quali misure di sicurezza sono appropriate. Ad esempio, la valutazione si aspetterebbe di vedere maggiori livelli di sicurezza in atto se un database contiene nomi e indirizzi rispetto a quando vengono archiviati solo indirizzi e-mail. La valutazione prende in considerazione anche altri aspetti della sicurezza.
"Noi esaminiamo le misure di sicurezza fisica, [come] se è presente una struttura strutturata di archiviazione sicura, osserviamo il computer e le misure di sicurezza della rete e guardiamo alla sicurezza delle comunicazioni: le e-mail sono protette da intercettazioni non autorizzate e intrusione?"
L'OAIC esamina anche le politiche e le procedure di sicurezza che regolano le modalità di accesso del personale e di altri informazioni personali nei database e come potrebbero essere in grado di condividerle, spostarle o pubblicarle informazione. Sebbene il Privacy Act non consideri un reato la fuga di informazioni da parte di un singolo individuo, una persona che utilizza le risorse della propria organizzazione per La violazione della legge sulla privacy pone l'organizzazione sotto il controllo della legge, poiché l'organizzazione dovrebbe adottare misure per impedirlo verificarsi.
"Guardiamo l'intera suite... e poi giudichiamo se [il] test dei passi ragionevoli è stato soddisfatto."
Hummerston ha offerto consulenza alle aziende sulla base di alcuni degli errori più comuni rilevati dal suo ufficio.
"Quando la tua organizzazione raccoglie informazioni, sia online, sia tramite un modulo compilato o allo sportello con il nome di qualcuno, prendendo appunti su cosa dice il cliente, devi pensare alle informazioni che stai raccogliendo, [e] se sono necessarie ai fini del tuo organizzazione. Se non lo è, stai violando la legge australiana. Se lo raccogli per errore, stai violando la legge australiana."
Ha utilizzato l'esempio degli hotel che fotocopiano le patenti di guida dei clienti come un caso in cui le informazioni vengono raccolte ma non sono affatto necessarie.
"La mia patente di guida riporta il mio status di donatore di organi: queste sono informazioni sanitarie."
Ha anche messo in guardia le aziende che hanno subito una violazione dei dati in passato.
"Se domani Sony PlayStation fosse soggetta un altro attacco hacker e per quanto riguarda l'autorità di regolamentazione, il test dei passaggi ragionevoli sarebbe più difficile. Avrebbero dovuto imparare dagli errori del passato."
Questo potrebbe essere il motivo per cui la visione di Hummerston su Telstra è particolarmente dura.
"La mia opinione personale è che [la violazione di Telstra] sia stata un fallimento sistematico. Il sistema ha fallito più volte, risultando illegale divulgazione dei dettagli [di] circa 734.000 clienti Telstra. Questo perché erano negligenti, non guardavano i loro sistemi, non avevano problemi di privacy.
"Con mio personale disappunto, [l'esperto di operazioni di sicurezza di Telstra Scott McIntyre] lo ha descritto come un piccolo 'oops'. Abbiamo una differenza fondamentale di opinione. Diciamo che i sistemi di Telstra hanno fallito fin dall'inizio e hanno continuato a fallire per un periodo di tempo. Ci sono state almeno quattro occasioni in cui il problema avrebbe potuto essere identificato e avrebbe dovuto essere denunciato e risolto."
Nonostante non abbia trattenuto la sua delusione nei confronti di Telstra, Hummerston ha anche attribuito alla società di telecomunicazioni il merito della sua presa di posizione in materia di privacy per il futuro.
"A livello di amministratore delegato, c'è ora l'impegno a sistemare la cosa, e, a loro merito, in relazione alla nostra indagine e abbiamo scoperto che hanno infranto la legge, Telstra ci ha assunto l'impegno di riparare il loro sistema e di fornirci rapporti sullo stato di avanzamento di tale riparazione."
Per i clienti Telstra interessati, tuttavia, Hummerston ha affermato che il danno è stato fatto.
"Ho visto risultati molto tristi nelle violazioni della privacy in cui - non sto drammatizzando eccessivamente - la vita delle persone è stata colpita in modo assoluto e non può essere ripristinata a quello che erano prima della violazione della privacy, tutto perché qualcuno, lungo il percorso, qualcuno è stato negligente riguardo alle proprie responsabilità nella gestione di questa informazione."