Kan jy aanspreeklik gehou word as jou webwerf gehack word?

Artikel geskryf deur:
  • Online Business
  • Opgedateer: Jul 03, 2017

Misdaad teen besighede, dienste en kleinhandelaars behels gewoonlik nie fisiese besighede nie. In plaas daarvan, wat ons vind, is 'n toename in kubermisdaad van beide "vryskutters" en hacking sindikate. Hulle wil sensitiewe gebruikersinligting hê om aan identiteitsdiewe te verkoop (of hulself te gebruik).

Tog, wat van die regsgevolge vir besighede wat die aanvalle van hierdie aanvalle raak? Het hulle 'n verantwoordelikheid om inligting te beskerm? En wat is die omvang van daardie verantwoordelikheid?

Die kort antwoord, dit hang af. In die meeste moderne samelewings is daar baie min gesnyde en gedroogde situasies wat aanspreeklikheid betref. Daar is grade van redelikheid, skuld en skaalvrae om te oorweeg. Gegewe dat webwerwe met miljoene gebruikers en a kan hanteer baie geld op 'n gereelde basis, en dus miljoene stukke potensieel private inligting, is 'n duidelike antwoord onmoontlik.

As 'n aantekening het baie van die voorvalle hoofsaaklik toegepas op groot maatskappye, maar as jy 'n klein besigheid bedryf (web-gebaseerde of andersins), sal die meeste van dieselfde wette geld indien jou webwerf met 'n oortreding getref word.

Kom ons kyk na 'n paar vorige gevalle en oortredings om jou risiko beter te bepaal:

Data oortredings: Skaal en tipes

Die realiteit van databreuk (2016 statistieke, bron: Breach Level Index).

Oorweeg, hipoteties, dat jou besigheid slagoffer geword het van 'n data-oortreding. Voordat jy aandag gee aan die skade, moet jy die skaal van die aanval bepaal. Hoe doen mens dit?

Laat ons eers die data wat gesteel is, oorweeg:

  • Jou besigheid gaan nie baie regsprobleme ondervind as jy 'n e-pos adres kry wat gesteel word nie. Die slagoffer sal dalk nie eers agterkom nie. E-pos adresse is goedkoop en algemeen, en 'n klein oortreding of 'n hack in jou intekenaar lyste is dikwels die oorsaak van hierdie soort oortreding.
  • Rekeninginligting is nog 'n saak. As rekeninge van u webwerf gesteel word, is bedrog moontlik, en dus is skadevergoeding moontlik.
  • As 'n data-oortreding voorkom en die finansiële en identifiserende inligting van u kliënte gesteel word, veral baie, sal dit 'n probleem wees as u nalatig gevind kan word. Identiteitsdiefstal sal voorkom, en ander potensiële probleme kan ontstaan ​​(oorweeg wat 'n misdadiger met iemand se adres kan doen).

Die skaal kan ook baie saak maak. Baie nedersettings en boetes word gehef per persoon wat geraak word (soos die aard van 'n hofaksie). Jou besigheid kan waarskynlik die verlies van 10-rekords bekostig omdat dit baie onwaarskynlik is dat 'n skending van hierdie grootte dit vir die hof sal maak. Dit kan egter nie die verlies van 100,000 finansiële rekords hanteer nie. Byvoorbeeld, teiken het onlangs 'n $ 18.5 miljoen nedersetting uitbetaal aan verskeie staatsregerings vir 'n 2013-oortreding van data wat miljoene kredietkaartrekords betrek.

Watter voorvalle is ingestel?

Fundamenteel is die wet soveel oor presedent as wat dit gaan oor wat in die boeke geskryf is. Kom ons kyk na wat ons van vorige oortredings en gevalle ken:

1-maatskappye kan aanspreeklik gehou word (of sal binnekort wees)

Maatskappye en webwerwe het 'n verantwoordelikheid teenoor hul kliënte en kliënte. Dit geld veral vir sekere gebiede, soos gesondheidsorg en wetgewing, waar die misbruik van rekords en vertroulikheid gevolge gehad het voor die ouderdom van die internet. Hierdie reëls geld nog steeds, en as jou webwerf in sensitiewe velde werk, moet jy weet wat jy kan en nie kan doen nie. Die wet is duidelik.

Vir almal anders is die waters egter nogal skelm oor die omvang van verantwoordelikheid, al is dit net nou. In die Verenigde Koninkryk is nedersettings en boetes aan die toeneem. Nuwe wetgewing in die EU, sodra dit in werking tree, sal hard hardloop op besighede, wat potensieel biljoene dollars in boetes hef op firmas wat hul inligting nie voldoende beskerm nie en hulself op die verkeerde einde van 'n data-oortreding bevind.

Wat kan ons van die Verenigde State hieroor verwag? Dit is min of geen eksplisiete wetgewing hieroor nie. Regsgedinge word byna outomaties ingedien wanneer daar 'n grootskaalse databreuk is, maar dit kan verwag word wanneer prokureurs dollarstekens sien en 'n kans kry om publisiteit te kry. In plaas daarvan word dit uitgewerk op 'n geval tot geval, wat ons lei om na ander voorbeelde te kyk.

2-skade moet duidelik wees

Data oortredings gebeur gereeld en dikwels lyk dit baie min.

Baie regsgedinge van verbruikers sal waarskynlik nie te suksesvol wees nie, aangesien potensiële besering aan die lyn van identiteitsdiefstal nie as 'n sterk argument sal ophou nie. Daar moet bewys wees van werklike of dreigende besering, wat moeilik is om onmiddellik na 'n data-oortreding te voorsien. Dit mag verander, maar dit blyk tot dusver die geval te wees.

Die meeste hackers en kuberkriminele weet beter as om nuutverworwe data uit te probeer, en baie meer soek eenvoudig na iemand om die data te koop vir identiteitsdiefstal-ringe (een hacker sal waarskynlik nie miljoene kredietkaartnommers gebruik nie). Selfs dan sal die meeste identiteitsdiefstal nie gelyktydig gesteel word nie, wat beteken dat 'n regsgeding moeilik is om te organiseer.

Wendy's het byvoorbeeld 'n klasaksie teen hulle gehad, maar die saak is uiteindelik ontslaan. Die hof het gesê die skade is nie voldoende nie, en aangesien die skade vergoed is, het die saak nie voor die wet opgestaan ​​nie. Meer interessant, howe het eenvoudige bedrieglike koste op 'n kredietkaart gevind, was nie genoeg om skadevergoeding te regverdig nie.

3-Nalatigheid en Behoorlike Protokol

As 'n voorbeeld van 'n klasaksie-regsgeding wat uitgewerk het, Neiman Marcus-kliënte het 'n $ 1.6 miljoen dollarpak gekry teen die maatskappy nadat dit bevestig is, het die handelaar versuim om behoorlike beskerming te bied. Alhoewel dit 'n groot maatskappy is en nie net 'n webwerf nie, is dit 'n duidelike boodskap dat verwaarlosing nie geduld kan word as jy 'n besigheid bedryf nie.

Die regering het reeds na maatskappye soos Wyndham en TerraCom omdat die inligting nie behoorlik beskerm is nie. Enkele voorbeelde van oortredings sluit in:

  • Stoor kaartinligting sonder beskerming of enkripsie.
  • Versuim om firewalls of ander sekuriteitsmaatreëls op fisiese plekke te gebruik.
  • Gebruik maklike raai wagwoorde.
  • Versuim om buiteverbindings te beperk.
  • Stoor inligting op duidelik onbeskermde bedieners.

Daarbenewens het die regering maatskappye vereis om beter sekuriteitsmaatreëls te implementeer en ekstra koste bo boetes by te voeg.

4- Sekere Rekords Materie Meer

Soos vroeër genoem oor gesondheidsrekords, HIPAA (of 'n ekwivalent) sal afgedwing word indien bevind word om geskend te word.

Onlangs is daar 'n reeks hoëprofielgesondheidsgevaarbreuke in beide die buiteland en in die buiteland. Dit sal dwaas wees om te dink daar sal nie toenemende druk wees om strengere handhawing te mandaat en strengere strawwe in die digitale era te skep nie. As jou webwerf verband hou met gesondheidsorg, moet jy professionele kuberbeveiligingshulp oorweeg.

Rekords wat verband hou met direkte finansiële bestuur of ander vertroulike inligting sal ook aan 'n hoë standaard gehou word. Morgan Stanley versuim om kliëntinligting te beskerm en het $ 1 miljoen daarvoor verloor.

Daarbenewens moet daar kennis geneem word dat kontrakbepalings of ander wetlik bindende omstandighede hul eie gewig in 'n geregshof sal hê. As u besigheid instem om sekere inligting veilig te hou, is u wettig verantwoordelik om dit veilig te hou, ongeag ander presedente.

5-dit kan verskil per streek

In die Verenigde State verskil die wette van state tot staat ten opsigte van die gebruik van tegnologie en verantwoordelikheid van webwerfgebruik en privaatheid. Elke staat het wette op die boeke rakende kubermisdaad, al is daar verskille in strawwe en standaarde.

Dit kan veel ingewikkelder wees as jy 'n internasionale voorval hanteer. Die huurders van die internasionale reg is nie presies maklik om te verstaan ​​nie. Dit is veral die geval met wette rakende korporatiewe verantwoordelikheid, en selfs meer wanneer relatief nuwe wette rakende tegnologie betrokke is.

Soos reeds genoem, funksioneer regstelsels soveel deur wettige presedent as deur wetgewing, en daar is nie baie presedente in hierdie regsgebied gestel nie. Jy wil ook nie 'n toetssaak wees nie, aangesien mense jou werf met 'n data-oortreding sal assosieer, of jy aanspreeklik is of nie. Dit is byna onmoontlik om te herstel van die soort skade aan jou beeld.

Breek voorvalle in 2016 per streek.

Vermindering van u aanspreeklikheidsrisiko

U aanspreeklikheidsrisiko kan egter verminder word, alhoewel u uself op die verkeerde einde van 'n oortreding bevind. As jy verantwoordelik en oop is oor wat gebeur het, en daar is geen redelike manier waarop jy die oortreding kon voorkom nie, sal jy waarskynlik reg wees en kan jy fokus op die herbou van jou webwerf se handelsmerk en gehoor. Soos altyd betaal due diligence dividende.

Samevattend moet jy die volgende doen sodra jy moontlik kan:

  • In die mate wat jy in staat is, plaas beskerming op jou webwerf wat jou besoekers sal beskerm. Kry HTTPS geaktiveer op jou webwerf, maak seker dat jou kommentaar outomaties gemodereer word (of afskakel, afhangende van jou webwerf), hou jou plugins op datum en verwyder enige wat verouderd is.
  • Beskerm jou toestelle op soortgelyke wyse en tref voorsorg teen menslike foute. 'N Persoon wat nie behoorlike prosedure of wette volg nie, is baie meer geneig om jou aanspreeklik te maak as 'n toesig wat geen verdediging het nie.
  • Lees op u staatswette oor die aangeleentheid. As u organisasie dit kan bekostig, kyk na regsadvies om die risiko van aanspreeklikheid te bepaal indien daar 'n lek van inligting is. Wees bewus hiervan is 'n voortdurend veranderende veld, en die presedente en wette van 'n paar jaar gelede is dalk nie meer van toepassing nie.
  • Probeer om jou webwerf se sekuriteit soveel as moontlik te bewys. Terwyl daar geen manier is om dit perfek te doen nie, probeer om moontlike strategieë voor te stel wat 'n vaardige hacker kan gebruik.
  • As jy jou webwerf oortree, reageer vinnig en beslis. Maak seker dat jy nie die lek probeer bedek of andersins die omvang van die skade verberg nie. Dit sal jou net vererger in enige moontlike ondersoek en sal dit laat lyk asof jy moet blameer (jou webwerf se gebruikers het die reg om hulself te beskerm en te verdedig). Moenie jouself impliseer en volle blameer (selfs in 'n blogpos) aanvaar nie, maar erken eerder die situasie en vertel die gebruiker wat jy doen om die skade te versag en te voorkom dat dit weer voorkom.

Daar is waarskynlik Ander maatreëls wat jy kan neem om jouself te beskerm, maar hulle is te situasioneel om enige werklike insig in hierdie vraag oor aanspreeklikheid te bied. Dinge soos of die skrifte wat jy op jou webwerf gebruik, maak jou kwesbaar (wees versigtig oor watter metodes jy gebruik om data te versamel), die presiese data wat jy versamel en die vlak van interaksie wat jy met jou gehoor het (hackers kan kommunikasie sien en inligting ekstrapoleer daarvandaan) saak wanneer dit kom by die kwessie van kuberversekeringsplig.

Ongeag van jou gedagtes oor jou potensiële aanspreeklikheid, sal jy beter af wees as jy jouself beskerm en gebruik watter kennis jy ookal ervaar. Hierdie situasie sal voortgaan om te verander. Wees dus waaksaam om seker te maak dat u op enige risiko's, regs- of kuberversekeringsverwante. Met die regte idees en toewyding, moet jy nie bekommerd wees oor hierdie probleem nie.

Oor die skrywer: Cassie Phillips

Cassie is 'n tegnologie- en kuberversekeringsblogger wat gereeld skryf Veilige gedagtes. U kan gewoonlik haar nuwe tendense ondersoek en probeer om haar gehoor te bou. Sy hoop dat hierdie inligting jou sal help om weg te bly van aanlynbedreigings wanneer jy jou besigheid bou.

Oor WHSR Guest

Hierdie artikel is geskryf deur 'n gas bydraer. Die skrywer se standpunte hieronder is heeltemal sy of haar eie en mag nie die siening van WHSR weerspieël nie.