AllNews

Europa, USA, Skåret 11th Hour Safe Harbor-Aftale

Europa og Usa på tirsdag annonceret en ny Safe Harbor-aftale, der neutraliserer truslen om håndhævelse i forhold til indenlandske virksomheder håndtering af data i udlandet.

Europe, US Cut 11th Hour Safe Harbor Deal

Kaldet “EU-OS Personlige Shield,” den aftale, der har til formål at beskytte fortroligheden af de data, der tilhører de Europæiske borgere, når de håndteres af AMERIKANSKE virksomheder.

“De nye EU-OS Personlige Shield beskytter de grundlæggende rettigheder for Europæerne, når deres personlige data, der er overført til AMERIKANSKE selskaber,” sagde Vera Jourová,

Eu ‘ s kommissær for retlige anliggender, forbrugere og ligestilling.

“For første gang nogensinde, de Forenede Stater har EU fået et bindende tilsagn om, at adgang for offentlige myndigheder til den nationale sikkerhed formål, vil være underlagt klare begrænsninger, garantier og kontrol mekanismer,” fortsatte hun.

“Det er også første gang,” Jourová tilføjet, “EU-borgere, der vil drage fordel af klagemuligheder i dette område. I forbindelse med forhandlingerne om denne aftale, USA har forsikret, at det ikke adfærd masse eller vilkårlig overvågning af borgerne. Vi har etableret en årlig fælles gennemgang med henblik på at overvåge gennemførelsen af disse forpligtelser.”

Bøder Afværget

Uden en ny Safe Harbor-aftale, for at beskytte AMERIKANSKE virksomheder behandlingen af Europæiske borgere fra EU ‘ s personlige begrænsninger, håndhævelse ville have begyndt straks, bemærkes, Neil Stelzer, general counsel for

Identitet Finder.

“Der er ingen, der taler om en afdragsfri periode eller en forlængelse af fristen,” fortalte han TechNewsWorld.

Det ville have betydet, at de Europæiske tilsynsmyndigheder har haft højt profilerede mål at håndtere masser af data, der tilhører deres borgere — virksomheder som Google og Facebook.

“Myndighederne har begrænsede ressourcer, så hvad vil de gøre, er at gå efter store navne, der vil gøre papirerne og forsøge at få store bøder, der er udstedt mod dem,” Stelzer sagde.

“De bøder, der i Europa er ganske betydelig, så de er noget, du kommer til at ønsker at undgå,” tilføjede han.

Safe Harbor Usikre for Europæere

Eu-Domstolen sidste år

erklæret ulovlig af en aftale mellem Usa og den Europæiske Union, som oprettet en Sikker Havn for AMERIKANSKE virksomheder håndtering af personlige data af udenlandske borgere.

I henhold til aftalen, i det væsentlige ordet af et AMERIKANSK selskab, at det var passende sikkerhedsforanstaltninger til at beskytte de data, af Europæere var alle, der var nødvendig, når udenlandske data, der blev overført til Amerikanske udbydere.

Aftalen var en handling af bekvemmelighed, som den Europæiske Union til at rumme forskellen mellem stærk privatlivsbeskyttelse fundet i udlandet, og svagere i Usa.

Usa og Europa var indtil Jan. 31 for at skabe en ny Safe Harbor-aftale, der kunne gå ret mønstre. Fristen overskredet, men det lykkedes dem at fremstille en aftale to dage senere.

Ukraine Strømafbrydelse

I December angribere installeret malware på systemer af et el-selskab i det vestlige Ukraine. Det ondsindede program, kaldet BlackEnergy3, som forhindrede, at malware-krigere i at opdage angreb, mens de ubudne gæster eksternt udløst breakers at reducere strøm til alt fra at 80.000 700.000 boliger til seks timer, ifølge rapporter.

Det menes at være første gang, et cyberattack forårsaget en strømafbrydelse.

Medarbejdere i marken sidst restaureret magt ved at nulstille breakers ved hånden ved den målrettede transformerstationer.

Den hastighed, ved hvilken magt var restaureret tyder på, at den rolle, BlackEnergy3 spillede i angrebet har været overdrevne.

“Det er teknisk muligt, men meget usandsynlig, at BlackEnergy3 malware blev brugt som direkte cyberthreat, der har ført til lammelsesangreb (denial of service) eller andre konsekvenser, at den industrielle kontrolsystemer, der er forbundet med den ukrainske power systems,” sagde ICS sikkerhed ekspert Joel Langill.

“Jeg tror dog ikke, at andre ikke-forretningsmæssigt forbundne cyber begivenheder såsom kommunikation, buffer overflows, netværks problemer og potentielle software fejl, i virkeligheden var vigtige faktorer, der førte til den manglende evne til industriel kontrol system til at fungere efter hensigten, hvilket resulterer i den udbredte strømafbrydelse,” tilføjede han.

Gammel Sårbarhed

I en anden interessant twist om brugen af BlackEnergy, malware var ved hjælp af et angreb Microsoft patched i 2014,

SentinelOne CSO Udi Shamir sagde.

Lappet systemer ville have advaret bruger af malware og forhindre den i at inficere et system uden brugerens medvirken, fortalte han TechNewsWorld.

Det betyder, at for at udløse den malware, en bruger for at gribe ind, enten ved et uheld eller forsætligt.

“Den tredje mulighed er den malware, der var hjemmehørende i mange, mange måneder eller år, og når nul time ankom, det begyndte at udføre,” sagde Shamir.

Dårlig Patching

Der er en fjerde mulighed. De versioner af Microsoft Office, som er indgang til BlackEnergy, ikke var lappet på alle, der forlader dem endnu mere sårbare over for angreb.

“Du kan ikke altid installere de seneste patches,” Shamir forklaret. “De fleste af disse SCADA-systemer, der arbejder med ældre software, som Windows XP.”

SCADA — supervisory control automation and data acquisition — systemer, som muliggør overvågning og automatisering af fysiske systemer, såsom olie og gas pipeline ventiler, temperatur overvågning og køling systemer, energi-net, og trafiklys.

“Hvis du bruger Windows XP, som ikke er understøttet af Microsoft længere, der er ingen seneste patches,” Shamir fortsatte.

“Selv hvis du gør patch, og du har en insider, der vil udføre den malware, er du stadig dømt,” tilføjede han.

Dyb Læring

Traditionelle malware-metoder til påvisning — underskrifter, simpel machine learning eller menneskelige-in-the-middle-analyse — ikke hurtigt nok eller stærke nok til at beskytte en-systemer i disse dage.

“Der førte os til dyb læring, fordi det kan bruges til at undervise i en detektor generelle mønstre for at afgøre, om noget er skadeligt eller ikke,” sagde-Andrew Thomsen, senior teknisk direktør for machine learning på

Symantec.

Med traditionelle malware, analyse, en person har til at se på et eksempel på malware, opret etiketter, eller metadata, for det, og gemme det i en database.

Hvis malware er fundet igen, en detektor vil være i stand til at identificere det fra disse etiketter. Hvis malware er blevet ændret i bare den mindste måde, men det vil være uopdaget.

Med den slags terminologisk analyse kan du lære en analyse værktøj til at identificere Felix the Cat, men det kommer ikke til at identificere andre katte, som Garfield, Morris eller Simba.

Malware-forfattere er godt klar over denne mangel, så de skriver ondsindet software, der er i stand til konstant at ændre sig selv for at undgå afsløring.

Fremtidige Sikkerhed

“Med dyb læring, vi kan tage enorme mængder af være uden navn data og bruge et lille antal af etiketter til at oprette etiketter for hele datasættet,” Gardner fortalte TechNewsWorld.

“Det er temmelig magtfulde, fordi det fjerner en kritisk flaskehals: den menneskelige ekspert labeler,” sagde han.

Nu når analysen er undervist i at identificere Felix the Cat, vil det være i stand til at identificere alle katte, uanset om det har set dem før eller ej.

“Jeg forventer, at vi i fremtiden vil se flere virksomheder ser på vedtagelse af dyb læring sikkerhed data, fordi jeg kan ikke tænke på nogen anden måde, at de kan indpasses behandle alle de data, som de indsamler,” Gardner sagde.

“Hos Symantec,” fortsatte han, “vi indhenter om en petabyte data en dag. Det er en enorm mængde af data. Der er ingen måde, du kunne mærke, at alle data med menneskelig indgriben.”

Overtrædelse Dagbog

  • Jan. 25. Retssag mod Georgien over data, brud, der er udsat personlige data af 6 millioner vælgere i den stat, der er afskediget på anmodning af sagsøgerne, der sagde, at deres motivation for at forfølge sagen, var at få staten til at erkende den overtrædelse.
  • Jan. 25. VTech Holdings annoncerer sin Læring Lodge hjemmeside og app store har genoptaget normal drift for de fleste af sine kunder. I November, er et brud på datasikkerheden udsat personlige data for 12 millioner mennesker, herunder 6.4 millioner børn.
  • Jan 25. Affinitet Plus Federal Credit Union rapporter en 64 procent nedgang i bedrageri, da distribution af EMV chip-aktiveret betalingskort i oktober.
  • Jan. 25. Uber bekræfter en fejl i it-systemer, der er forårsaget af de skattemæssige oplysninger for en af sine chauffører at blive set af andre bilister.
  • Jan. 26. Online Tillid Alliance rapporter om, at 91 procent af brud på datasikkerheden i løbet af de første otte måneder af 2015 kunne have været forhindret ved at lappe en server, kryptering af data eller sikre, at medarbejdere ikke mister deres bærbare computere.
  • Jan. 27. Wendy, der afslører, at det er ved at undersøge rapporter fra sin betaling industri kontakter fra svigagtig aktivitet på kreditkort, efter at de blev brugt på selskabets restauranter.
  • Jan. 27. TalkTalk meddeler, at tre arbejdere på et call center i Indien, er blevet arresteret i forbindelse med tyveri kundens data og bruge det til at lokke disse kunder. Kunde registrerer var også kompromitteret i oktober i et sikkerhedsbrud, der berører mere end 156,000 kunder.
  • Jan. 27. NCH Sundhedsydelser, der driver hospitaler i Collier County, Florida, meddeler medarbejdere og medicinsk personale, deres legitimationsoplysninger, er i fare efter bruddet på Cerner Data Center i Kansas City, Missouri.
  • Jan. 27. ThreatTrack Sikkerhed frigiver en undersøgelse af 207 sikkerhed fagfolk i Usa, at der findes færre var at undersøge brud på data ikke videregives til deres kunder (11 procent i forhold til 57 procent i 2013), og færre har brug for at rydde op malware fra ledere, der besøger pornosider (26 procent i forhold til 40 procent i 2013).
  • Jan. 28. Forsvarsminister Harjit Sajjan annoncerer Canada ‘ s elektroniske spion agentur, Communications Security Establishment, har stoppet delingen, nogle af sine data med de vigtigste internationale allierede, efter at opdage de data, der er indeholdt personlige oplysninger om landets borgere.
  • Jan. 28. Royal Bank of Canada annoncerer det ved et uheld sendt hundredvis af pensionering konto kvitteringer til de forkerte kunder. Oplysninger om indtægter omfatter navne, adresser og den sociale sikring antallet af kontohavere.
  • Jan. 28. Privacy Commissioner of British Columbia frigiver en rapport at finde undervisningsministeriet i den Canadiske provins har undladt at beskytte de personlige oplysninger af 3,4 millioner studerende, når dens medarbejdere mistede en bærbar harddisk i efteråret 2015.
  • Jan. 28. Den Broderlige Rækkefølge af Politiet, den største politi-union i Usa, beder FBI til at undersøge en data overtrædelse af organisationens computere, hvor hundredvis af megabyte overenskomster, kontrakter og andre dokumenter, der blev stjålet og lagt på Internettet af en Britisk hacktivist, der kalder sig TheCthulhu.
  • Jan. 29. Lincolnshire County i ENGLAND viser, at det er blevet præsenteret med en ransomware efterspørgsel for 1 million pund. It-systemer har været offline i fire dage, efter at den har opdaget malware, ransomware på dem. Det siger systemer vil være online efter sine data gendannes fra sin backup-system.

Kommende Begivenheder Sikkerhed

  • Feb. 3. Opbygningen af en IT-Sikkerhed Bevidsthed Program, Der Virkelig Virker. 2 p.m. ET. InformationWeek DarkReading webinar. Gratis med tilmelding.
  • Feb. 4. 2016 årlige globale Infrastruktur sikkerhedsopdatering. Klokken 11 ET. Webinar sponsoreret af Arbor Networks. Gratis med tilmelding.
  • Feb. 4. Bedste Praksis i Internetsikkerhed Supply Chain Risk Management — Boeing Historie. 2 p.m. Webinar sponsoreret af Exostar. Gratis med tilmelding.
  • Feb. 5-6. B-Sider Huntsville. Dynetics, 1004 Explorer Blvd., Huntsville, Alabama. Gratis.
  • Feb. 9. Start Med Sikkerhed. University of Washington Law School, 4293 Memorial Måde NE, Seattle. Sponsoreret af Federal Trade Commission. Gratis.
  • Feb. 11. Puls på Avancerede Trusler: Resultater fra Arbor Networks’ Verdensomspændende Infrastruktur, Sikkerhed Rapport. Klokken 11 ET. Webinar sponsoreret af Arbor Networks. Gratis med tilmelding.
  • Feb. 11. SecureWorld Charlotte. Charlotte Convention Center, 501 College Syd St., Charlotte, North Carolina. Tilmelding: konference pass, $195; SecureWorld Plus, $625; udstillinger og åbne sessioner, $30.
  • Feb. 11. Brud På Datasikkerheden Og Beskyttelse Af Personlige Oplysninger Retssager Konference. Julia Morgan Ballroom, 465 California St., San Francisco. Tilmelding: advokater og virksomheder, $795; retssager tjenesteudbyder, $1,195; advokatfirma assistent, $375; juridisk markedsføring deltager, $595.
  • Feb. 11-12. Dragter og Spooks DC. National Press Club, 529 14th St. NW, Washington, DC Registrering: $599; offentlige og den akademiske verden, $499.
  • Feb. 16. Architecting den Hellige Gral for Network Security. 1 p.m. ET. Webinar sponsoreret af Pigge Sikkerhed. Gratis med tilmelding.
  • Feb. 17. At stoppe Overtrædelser Omkreds: Strategier for Secure Access Control. 1 p.m. ET. Webinar sponsoreret af 451 Forskning og SecureAuth. Gratis med tilmelding.
  • Feb. 18. Vil de virkelig Avanceret Trussel Stå Op? Angreb Kampagner i 2016 og fremover. 1 p.m. ET. Webinar sponsoreret Arbor Networks. Gratis med tilmelding.
  • Feb. 20. B-Sider Og Seattle. Det Commons Mixer Bygning, 15255 NE 40 St., Redmond, Washington. Billetter: deltager, $15 plus $1.37 gebyr; super awesome donor deltager, $100 plus $3.49 gebyr.
  • Feb. 28-29. B-Sider Og San Francisco. DNA-Stue, 375 11th St., San Francisco. Tilmelding: $25.
  • Feb. 29-Marts 4. RSA USA 2016. Moscone Center, 747 Howard St., San Francisco. Tilmelding: fuld konference pass, før Jan. 30, $1,895; før Feb. 27, $2,295; efter Feb. 26, $2,595.
  • Feb. 29-Marts 4. HIMSS16. Sands Expo & Convention Center, Las Vegas. Tilmelding: senest Feb. 3, $865; efter Feb. 2, $1,165.
  • Marts 10-11. B-Sider og SLC. Salt Palace Convention Center, 90 South West Temple, Salt Lake City. Tilmelding: $65.
  • Marts 12-13. B-Sider Og Orlando. University of Central Florida, Main Campus, Orlando, Florida. Tilmelding: $20; studerende, gratis.
  • Marts, 14-15. Gartner Identity og Access Management Summit. I London. Tilmelding: 2,550 euro (plus MOMS) for; offentlig sektor, $1,950 plus MOMS.
  • Marts 17-18. PHI Protection Network Konferencen. Sonesta Philadelphia, 1800 Market St., Philadelphia. Tilmelding: $199.
  • Marts 29-30. SecureWorld Boston. Hynes Convention Center, Exhibit Hall D. Registrering: konference pass, $325; SecureWorld Plus, $725; udstillinger og åbne sessioner, $30.
  • 31 Marts-1 April. B-Sider Og Austin. Wingate Round Rock, 1209 N. IH 35 Nord (Afkørsel 253 på Hwy 79), Round Rock, Texas. Gratis.
  • April 20-21. SecureWorld Philadelphia. Sheraton Valley Forge Hotel, 480 N. Guelph Rd., Kongen af Preussen, Pennsylvania. Tilmelding: konference Pass, $325; SecureWorld Plus, $725; udstillinger og åbne sessioner, $30.
  • Juni 13-16. Gartner Security & Risk Management Summit. Gaylord National Resort & Convention Center, 201 Waterfront St., National Harbor, Maryland. Tilmelding: senest den 16 April, $2,950; efter April 15, $3,150; offentlige sektor, $2,595.

John Mello er en freelance skribent og bidragyder til Chief Security Officer magasin. Du kan forbinde med ham på
Google+.

Date:

by

admin