Бывший глава ASIO задается вопросом, почему политические партии освобождены от раскрытия информации о нарушениях

В феврале следующего года организации в Австралии должны будут раскрывать инциденты, связанные с личной информацией, данными кредитных карт, право на получение кредита, а также информацию о номерах налоговых деклараций физических лиц, которая подвергнет их «реальному риску серьезного вреда» в соответствии с законодательством страны. надвигающийся законы об уведомлении об утечке данных.

Новые законы, принятые в соответствии с Поправка к Закону о конфиденциальности (уведомляемые нарушения данных) применяются только к компаниям, подпадающим под действие закона, и, следовательно, см. спецслужбы, малый бизнес с оборотом менее 3 миллионов австралийских долларов в год, а политические партии освобождены от раскрытия информации. нарушения.

Дэвид Ирвин, председатель Австралийского научно-исследовательского института кибербезопасности (ACSRI), бывший глава Австралийской организации безопасности и разведки (ASIO) и генеральный директор Австралийской секретной разведывательной службы (ASIS) не смогли ответить, почему политические партии оказались освобождены от нового закона. законы.

«Я думаю, что это следует рассматривать как риторический вопрос; мой ответ будет таким: «Почему?», — сказал Ирвин ZDNet в ответ на вопрос, почему политические партии освобождены от налога.

«Я думаю, что сторонам, вероятно, действительно нужна хорошая киберкатастрофа, чтобы сосредоточиться на этом вопросе, как это сейчас происходит в Соединенных Штатах».

Только в этом месяце американская кредитная рейтинговая и отчетная фирма Equifax сообщила, что раскрыла целых 143 миллиона клиентов, и Deloitte подтвердила, что это было объект кибератаки во вторник, что привело к краже конфиденциальных документов и электронных писем.

Это последовало за обвинениями в течение года со стороны спецслужб США в том, что Россию взломали в электронные письма Демократической партии, а также сообщения о том, что на витрине Национального республиканского сенаторского комитета содержалось вредоносное ПО, которое украл все номера кредитных карт Использовалась в магазине в течение полугода.

На конференции SINET61 в Сиднее во вторник, которую модерировал Ирвин, присутствовал Эйдан Тудехоуп, управляющий директор Macquarie. Telecom и Софи Хиггинс, директор отдела регулирования и стратегии Управления комиссара по информации Австралии. (ОАИК).

Хотя Тудехоуп уклонился от ответа на этот вопрос, он сообщил ZDNet, что движение «фейковых новостей» помогает политическим партиям решать проблемы, которым в противном случае подвергались бы законы об уведомлении о утечке данных.

«Разгром фейковых новостей в США, вероятно, лучше способствует повышению осведомленности о кибербезопасности в политических кругах. стороны, не обязательно конфиденциальность, но если вы думаете, что конечная игра заключается в повышении безопасности, это имеет большое значение», — сказал он. сказал. «Стороны стоят и слушают».

Хиггинс, однако, предпочел очевидный ответ, отметив, что политические партии освобождены от Закон о конфиденциальности, поэтому они освобождаются от сообщения о нарушениях.

В соответствии с законами об уведомлении об утечке данных организации должны сообщать об инциденте «как можно скорее», пояснил Хиггинс, но оценка должна быть проведена в течение 30 дней.

Как отметил Ирвин, это схема самоотчета.

«Я не знаю, сколько людей сообщают в Управление дорожного движения и дорожного движения о том, что они совершили 65 поворотов в зоне со скоростью 60 км/ч, но, по сути, это то, о чем вы нас просите», - сказал он.

«Мало того, вы просите нас вынести суждение о том, серьезно ли что-то, может ли что-то причинить кому-то психологический вред... вы просите меня сделать много суждений».

Во время дискуссии во вторник также обсуждалось, что определения в контексте законодательства будут уточнены, как только начнут возникать случаи.

В мае 2018 года вступит в силу Общий регламент по защите данных (GDPR), требующий от организаций по всему миру, хранящих данные, принадлежат лицам из Европейского Союза (ЕС), чтобы обеспечить высокий уровень защиты и четко знать, где находится каждая унция данных хранится.

В соответствии с законами Австралии об уведомлении об утечке данных у организаций есть 30 дней, чтобы заявить об утечке; согласно GDPR, организации имеют 72 часа на уведомление властей после того, как об этом стало известно, за исключением случаев, когда утечка персональных данных вряд ли повлечет за собой угрозу правам и свободам физических лиц.

Если австралийская организация имеет представительство в ЕС, предлагает ли она товары и услуги в ЕС или контролирует поведение отдельных лиц в ЕС, они связаны требованиями GDPR, если нарушение связано с каким-либо из выше.

Организации, не соблюдающие требования требования регулирования грозит административный штраф в размере до 20 миллионов евро или, в случае предприятия, до 4 процентов от общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше.