Subuh
5:40
Syuruk
7:04
Zuhur
1:11
Asar
4:35
Maghrib
7:15
Isyak
8:30

SME: Apa perlu mereka tahu tentang keselamatan siber?

Teka Kata
Uji pengetahuan anda dalam bahasa Melayu
=
Pilih perkataan yang betul
Betul!
Salah!
Cuba lagi! Markah anda: Bagus! Markah anda: Hebat! Markah anda: Out Of 3
Rencana
33
0

UNDANG-UNDANG DAN ANDA

SME: Apa perlu mereka tahu tentang keselamatan siber?

Jan 30, 2022 | 05:30 AM

PADA 2018, data 1.5 juta pesakit terdedah apabila penggodam menceroboh pangkalan data SingHealth.

Denda $1 juta dikenakan ke atas Sistem Maklumat Kesihatan Bersepadu dan SingHealth pada Januari 2019.

Baru-baru ini, pemerintah meluluskan beberapa pindaan kepada Akta Perlindungan Data Peribadi (PDPA), antaranya termasuk denda yang dipertingkat untuk ketidakpatuhan.

Ia juga wajib untuk memberitahu Suruhanjaya Perlindungan Data Peribadi bagi pelanggaran data yang besar dan jika pelanggaran data berkemungkinan mengakibatkannya kemudaratan ketara kepada mangsa.

Sedang perniagaan menyesuaikan diri dengan wadah digital untuk aliran kerja mereka, dan kes pelanggaran data semakin meningkat, terdapat beberapa isu keselamatan siber dan privasi data utama untuk syarikat kecil dan sederhana (SME) pertimbangkan.

PRIVASI DATA

Secara amnya, data peribadi hanya boleh dikumpul, digunakan dan didedahkan untuk tujuan tertentu yang disetujui individu.

Jika perniagaan ingin mengumpul data untuk penghantaran bahan promosi, kotak tanda mesti diberikan kepada pelanggan.

Memandangkan persetujuan boleh ditarik balik pada bila-bila masa, satu kaedah biasa untuk membenarkan persetujuan pengeluaran (withdrawal consent) termasuk pautan memilih keluar (opt-out) untuk berhenti melanggan senarai mel.

Selain itu, syarikat berkewajipan untuk menyemak daftar Jangan Panggil dan mungkin tidak menghantar mesej promosi ke nombor telefon berdaftar melainkan pengguna telah memberikan persetujuan jelas.

Perniagaan juga mesti berusaha secara munasabah untuk memastikan data peribadi yang dikumpul tepat dan lengkap, terutamanya jika ia digunakan oleh perniagaan untuk membuat keputusan yang akan menjejas individu berkaitan dengan data peribadi itu atau didedahkan kepada organisasi lain.

PERLINDUNGAN DATA

Syarikat boleh menyimpan data peribadi secara sah selama yang diperlukan untuk perniagaan atau tujuan undang-undang.

Dalam masa itu, individu boleh meminta akses kepada data peribadi mereka dalam perlindungan perniagaan dan bagaimana data tersebut telah digunakan atau didedahkan sepanjang tahun lalu.

Namun, syarikat harus sedar tanggungjawab yang ada dengan pemilikan data peribadi.

Setiap syarikat dikehendaki melantik pegawai perlindungan data untuk menyelia pengumpulan, penggunaan dan pendedahan data peribadi, dan mengemas kini dasar PDPA perniagaan selaras dengan perkembangan peraturan terkini.

Di samping itu, perniagaan mesti melaksanakan langkah keselamatan yang munasabah untuk melindungi data peribadi di dalam pemilikannya, seperti wadah penyimpanan data peribadi tersebut dan bagaimana data tersebut boleh diakses.

Walaupun banyak perniagaan lebih kecil hanya mempunyai satu dasar perlindungan data, semua syarikat secara umumnya harus mempunyai dua dasar berasingan - satu untuk pekerja (dalaman) dan satu untuk pelanggan atau urusan luaran.

Contohnya, perkara yang berkaitan dengan penetapan kata laluan untuk server perniagaan dan protokol laporan dalaman untuk pelanggaran data atau pengurusan tindak balas insiden akan termasuk dalam protokol pertama, sementara dasar opt-out bagi mendapat persetujuan termasuk dalam dasar kedua.

Syarikat boleh dipertanggungjawabkan atas pelanggaran PDPA dan tertakluk kepada denda kewangan sehingga $1 juta atau 10 peratus daripada penjualan tahunannya, bergantung mana lebih tinggi.

Pada 2019, penggodam mengeksploitasi kelemahan dalam institut penyedia latihan penjagaan kesihatan, Institut HMI dan menggunakan perisian tebusan untuk mengunci data 110,000 individu, termasuk 98,000 kakitangan Kementerian Pertahanan (Mindef) dan anggota kerahan Angkatan Bersenjata Singapura (SAF).

Syarikat juga tidak mematuhi kerana hanya menggunakan satu kata laluan ringkas yang dikongsi antara pelbagai pekerja tanpa Pengesahan Data Tahap Kedua (2FA) atau langkah lain untuk menghalang akses haram itu.

Individu juga melakukan jenayah jika salah mengendalikan data peribadi, dengan hukuman penjara tidak melebihi dua tahun atau denda tidak melebihi $5,000.

KESELAMATAN SIBER

Menurut laporan Agensi Keselamatan Siber (CSA) Singapura pada 2020, kejadian pancingan data meningkat sebanyak 195 peratus daripada 16,100 pada 2018 kepada 47,500 pada 2019.

Diburukkan lagi oleh aturan kerja dari rumah akibat pandemik, penggunaan peranti peribadi untuk tujuan perniagaan dan peningkatan terhadap pergantungan pada penyimpanan awan (cloud), kelemahan perisian dan sistem perniagaan semakin terdedah.

Dalam laporan tahunannya baru-baru ini, CSA melaporkan purata 6,600 dron botnet harian yang dikesan yang biasanya digunakan untuk menggodam peranti rumah atau peribadi, dan mampu menjalankan perisian tebusan untuk mencuri maklumat dalam peranti yang disasarkan.

Akses tanpa kebenaran kepada data sensitif akibat kebocoran kata laluan pekerja atau pancingan data juga semakin meningkat.

Walaupun bahaya ancaman siber menyelubungi SME, 66 peratus menunjukkan mereka tidak mempunyai apa-apa perlindungan siber kerana mereka mempunyai tanggapan bahawa menghadapi isu berkaitan siber tidak mungkin berlaku, seperti yang didedahkan dalam dapatan penyelidikan pasaran pada 2020 yang dijalankan oleh QBE Insurance.

Selain daripada kesan operasi dan perniagaan, terdapat implikasi undang-undang kerana gagal melaksanakan dasar keselamatan siber yang mencukupi.

Sebagai contoh, di bawah Keselamatan Siber Kod Amalan, perniagaan yang memiliki sistem komputer untuk menyediakan perkhidmatan penting yang berterusan - seperti info-komunikasi, perbankan dan kewangan, penjagaan kesihatan - yang dikehendaki mengatur audit keselamatan siber setiap dua tahun, menjalankan penilaian tahunan, dan mewujudkan pemantauan, pengesanan dan rancangan tindak balas kejadian.

Perniagaan juga mungkin bertanggungjawab atas ketidakpatuhan PDPA akibat daripada pelanggaran data dan boleh dikenakan denda sehingga $1 juta.

Bagi kebanyakan SME, privasi dan keselamatan siber selalunya tidak mampu dimiliki kerana mereka tidak menikmati skala ekonomi yang dimiliki oleh syarikat berbilang negara (MNC).

Walau bagaimanapun, terdapat geran dan skim sedia ada untuk membantu perniagaan yang lebih kecil dalam mendapatkan nasihat, audit dan penyelesaian siber yang diperlukan.

Pada Jun 2015, Persatuan Undang-undang Singapura, hasil rundingan dengan Suruhanjaya Perlindungan Data Peribadi (PDPC), membangunkan Skim Nasihat Undang-undang PDPA.

Ia membolehkan SME melengkapkan senarai semak atau checklist dan menghadiri rundingan selama sejam dengan peguam yang ditugaskan untuk menilai tahap pematuhan PDPA.

Ia juga bagi mengenal pasti jurang dalam dasar data syarikat. Semua khidmat itu mengenakan bayaran tetap sebanyak $500.

Mulai sekarang hingga 31 Mac 2022, SME juga boleh mempertimbangkan untuk memohon Geran Huraian Produktiviti yang boleh membiayai sehingga 80 peratus daripada kos melaksanakan huraian dan peralatan teknologi maklumat (IT).

KESIMPULAN

Dengan perniagaan melaksanakan penyimpanan data berasaskan awan dan memanfaatkan analisis data besar, syarikat mesti beralih pandangan mereka kepada privasi data, perlindungan dan keselamatan siber.

Selain kesan undang-undang yang tidak dipatuhi, pelanggaran keselamatan dan salah guna data peribadi akan menghancurkan kepercayaan pengguna dan pelanggan terhadap perniagaan itu.

Walaupun membasmi semua kelemahan mungkin mustahil, pencegahan adalah lebih baik sebelum kejadian tidak diingini berlaku.

  • Penulis ialah rakan kongsi firma guaman Reed Smith LLP. Komentar ini pandangan peribadinya dan tidak mencerminkan pandangan firma itu.

PERLU DUA DASAR BERASINGAN

Walaupun banyak perniagaan lebih kecil hanya mempunyai satu dasar perlindungan data, semua syarikat secara umumnya harus mempunyai dua dasar berasingan - satu untuk pekerja (dalaman) dan satu untuk pelanggan atau urusan luaran.
Contohnya, perkara yang berkaitan dengan penetapan kata laluan untuk server perniagaan dan protokol laporan dalaman untuk pelanggaran data atau pengurusan tindak balas insiden akan termasuk dalam protokol pertama, sementara dasar opt-out bagi mendapat persetujuan termasuk dalam dasar kedua.

LEBIH SEPARUH TIADA PERLINDUNGAN SIBER

Walaupun bahaya ancaman siber menyelubungi SME, 66 peratus menunjukkan mereka tidak mempunyai apa-apa perlindungan siber kerana mereka mempunyai tanggapan bahawa menghadapi isu berkaitan siber tidak mungkin berlaku, seperti yang didedahkan dalam dapatan penyelidikan pasaran pada 2020 yang dijalankan oleh QBE Insurance.

- Penulis.

Video Baru

Teka Kata

=
Pilih perkataan yang betul
Betul!
Salah!
Cuba lagi! Bagus! Hebat! Markah anda: Out Of 3