Singhealth和IT供应商罚款1M的数据泄露
新加坡的个人数据保护委员会(PDPC)已被罚款单独的单一及其IT供应商,总共1米(739,410美元),未能保护城市状态最大的数据违约所偷走的150万患者的个人数据。
PDPC表示,它对从前所未有的患者数据库系统的前所未有的攻击产生的数据违规的调查发现,Singhealth“IT供应商”IT供应商“综合健康信息系统(IHIS)未能采取适当的安全措施来保护个人数据。
至于单一的SingHealth,PDPC发现,单一的SingHealth员工处理安全事件的情况不熟悉事故响应流程,并过度依赖IHIS。它还未能采取进一步的措施来了解IHIS在浮出水面后提供的信息的重要性,并添加。
PDPC对IHIS的750,000美元的“金融罚款”和250,000岁的单一的250,000美元 - 到目前为止施加的最高金额。
在解释其决定的理由中,PDPC指出,如果组织将工作委托给供应商,他们作为数据控制器的角色要求他们负责他们已从客户收集的个人数据负责。
在达到罚款时,PDPC表示,它考虑到迄今为止,数据泄露是新加坡最大的事实,以及受损数据的敏感和机密性质。
PDPC表示,IHIS和Singhealth在整个调查中都是合作社,并立即采取了补救行动。
它还认识到,两个组织都是熟练和精致的威胁演员的受害者,其具有高级持久威胁(APT)组的特点,使用众多先进,定制和隐形工具,并在超过10个月的时间内进行攻击。
根据“新加坡的个人数据保护法”,组织必须通过合理的安全安排来保护个人数据或在其控制下,以防止未经授权的访问,收集,使用,披露,复制,修改,处置或类似风险。那些未能这样做的人可能面临高达1万美元的财务处罚。
在单一的“单一数据突破之后,新加坡网络安全部长S. Iswaran于2019年1月15日在议会中表示,政府的意愿其IT和数据库系统是安全的,它收集的个人数据受到良好保护。
这包括一个“防御深入”的策略,多层网络防御妨碍攻击者。伊斯瓦伦表示,这些防御层“从周边的级联到我们的系统内,因为我们认识到一个复杂和坚定的攻击者,给予足够的时间和资源,可能会找到一种方式”。
“这就是为什么我们在我们的分层防御中具有能力,可以迅速检测违规和决定性的反应,”他补充道。