政府委员会呼吁TalkTalk发布违约报告
据政府委员会在2015年10月调查本公司的数据违约,谈论对其系统的普华永道应发布普华永道(PWC)审查。
文化部,媒体和体育委员会还呼吁信息专员办公室(ICO)介绍延迟报告个人数据违约的罚款,并在其调查报告中作出了其他几项建议。
委员会推出了审查违约情况的询问,以审查违约的个人信息155,000个PEOLTECOMPROMOMERPOMERMOMERMOMET,宽带提供商100,000百万客户,介于40米至45米的费用。
询问还旨在检查对电信和互联网服务提供商(ISP)违约的更广泛的影响。
委员会看着网络安全和对网络犯罪的反应和围绕数据保护的更广泛的问题。
作为询问的一部分,委员会听取了从Stalltalk首席执行官Dido Hardingandanco的证据。
委员会表示,它等待了ICO调查对Talktalk网络攻击和数据违约的结果,并注意到ICO的评论,调查所采取的时间部分是由于国际对调查的国际维度。
“我们接受了这一点,但遗憾的是,违背后的八个月后 - 客户没有清楚地了解发生的事情,”报告说。
委员会表示,这似乎很明显,ICO的30名执法人员不足以处理每年1,000个案件和近20万个公众关注,即使被发现绝大多数案件不保证详细的调查。
“我们建议新信息专员尽快评估资源和优先事项,”该报告称。
委员会表示,虽然关于违约的最终判决必须等待谈判委托的普华永道审查报告,但它承认谈判的强大危机管理响应以及迪托哈丁所表现出的迅速反应和领导。
“然而,重要的是,TalkTalk在没有延迟的商业上的商业上发布的是,并且遗漏如何实施任何必要的变化,”该报告称。
虽然首席执行官持股危机反应是合适的,但委员会表示,网络安全应与能够承担全天候责任的人,董事会监督,如果公司没有足够的情况,可以完全批准。保护自己免受网络攻击的步骤。
报告称,“确保此问题在危机罢工之前收到足够的首席执行官的注意力,所以应与有效的网络安全有关。”
据委员会称,在消费者对在线和电话诈骗的意识中,需要成为“步骤改变”。报告称,“政府应举行公众提高筹集活动,以促进烟雾报警检测的促进烟雾报警测试。
该报告称,公司还应该向现有和新客户提供良好的公布指导,以便他们将如何联系客户以及如何联系以验证公司的通信是真实的。
委员会建议ico基于对导致之前的违规行为的威胁和脆弱性缺乏关注,ICO应引入一系列升级的罚款。
报告称,“由”普通的vanilla“SQL攻击(普通Vanilla'SQL攻击)促进的数据违规,或者持续的漏洞和重复攻击促进了漏洞,”报告称。
委员会表示,这是“惊讶的”,没有要求在新的IT系统和应用程序设计中进行安全。
因此,我们建议设计的安全应该是新系统和应用程序开发的核心原则,以及开发人员培训的强制性部分,现有发展人员必要时再培训,“报告称。
在主要组织中,攻击风险很重要,委员会建议在组织现实事件管理计划和练习方面完全支持负责网络安全的人。这包括计划与客户和可能受到影响的人的沟通,无论是否存在实际违规行为。
报告称,“电信公司应该以简单的语言澄清这一点以简单的语言为消费者,以便他们在选择服务或产品时进行明智的选择。”
该委员会表示,如果消费者是数据泄露的受害者,他们应该更容易要求赔偿。
报告称,有许多实体,例如公民咨询局,可以通过小额索赔程序向消费者提供进一步的建议。
他说: “律师会向会员提供指引,协助个人在数据泄露后寻求赔偿。ICO应该评估小额索赔程序是否提供了适当的赔偿,”报告说。
报告称,所有电信公司和在线零售商以及其他网络脆弱组织都应采取措施,以确保在选择第三方供应商时遵守数据保护规则和网络要点是关键标准。
但是,应定期更新Cyber Essentials,以考虑到最近的攻击,包括对安全性,事件管理和恢复计划以及响应网络赎金需求的流程的需求。
“ICO和网络要点应发布进一步的指南,告知有关当局。它们还应包括如何以适当的方式告知受影响者的最佳实践示例。”
“(这将使公司) 在保护对警方调查敏感的信息,同时认识到消费者/客户要求要意识到可能影响他们的违规行为之间取得最佳平衡。”
委员会表示,这尤其重要,因为欧盟通用数据保护条例 (GDPR) 将向所有公司和组织,而不仅仅是电信公司和isp,告知消费者的义务。
根据委员会的说法,ICO应引入一种激励结构,以抑制延误,例如对举报违规行为的延误处以更高的罚款。
“目前,ICO只能对未报告数据泄露的情况开出1,000英镑的固定罚款。报告称,如果该组织尚未就如何验证通信向所有客户提供指导,也应该有征收更高罚款的余地。
“我们同意ICO的意见,虽然GDPR的实施将有助于将注意力集中在数据保护上,但采取一系列制裁措施,包括监禁判决,将是有益的。
“因此,我们支持ICO的呼吁,使2008年《刑事司法和移民法》第77和78条生效,对被判非法获取和出售个人数据的人,最高可判处两年监禁。”
报告称,公司和其他组织不仅需要证明他们为提高安全性而花费了多少,还需要证明他们正在有效地花费它。
在这方面,委员会建议持有大量个人数据的组织应每年向ICO报告:
员工的网络意识培训,当他们的安全流程最后一次被审计时,他们是否制定了事件管理计划,以及最后一次测试是什么时候。他们向当前和潜在客户和供应商提供了什么指导和渠道,说明如何检查他们的通信是真实的。他们处理客户的查询数量,以验证通信的真实性。攻击次数他们知道是否会导致数据泄露。报告说,迫切需要一种易于被消费者理解的机制,以保持消费者的信心并为消费者的选择提供信息。
委员会表示,因此,它支持ICO创建隐私印章的计划,该印章将在2016年晚些时候发布,该印章将授予具有良好隐私实践和高数据保护合规性标准的实体。
该委员会表示: “如果隐私印章还可以纳入交通灯系统,帮助消费者了解哪些公司合规,哪些公司正在取得进展,哪些公司尚未认真对待这一问题,这将是有用的。”
尽管如此,委员会表示,ICO应该拥有额外的非协商一致审计权力,特别是对卫生、地方政府以及可能对其他部门。
最后,委员会表示,其他汇总数据的脆弱性是政府迫切需要解决的重要问题。
报告称,在口头证据会议期间,ICO发布了目前在议会之前关于调查权力条例草案的明显警告。
“鉴于它将创造巨大的个人数据池,鉴于攻击和盗窃的脆弱性导致个人数据泄露的攻击和盗窃的脆弱,它创造了一个”大潜在问题“的”大潜在问题“。报告称,我们还收到了同意这一点的学者的证据,“报告称。
该报告称,部分政府的回应,可能是需要加强安全要求和背景检查,因为那些有权访问大型个人数据的人,而数据控制器应寻求控制和限制对此类汇总数据的访问权限。