Μπορείς να είσαι υπεύθυνος αν ο ιστοχώρος σου έχει χάσει;

Άρθρο που γράφτηκε από:
  • Online Business
  • Ενημερώθηκε: Ιούλιος 03, 2017

Το έγκλημα ενάντια στις επιχειρήσεις, τις υπηρεσίες και τους εμπόρους λιανικής πώλησης δεν περιλαμβάνει συνήθως τις φυσικές επιχειρήσεις τόσο πολύ όσο συνηθίζεται. Αντίθετα, αυτό που διαπιστώνουμε είναι η αύξηση του εγκλήματος στον κυβερνοχώρο τόσο από τους "ελεύθερους επαγγελματίες" όσο και από τα συνδικάτα πειρατείας. Θέλουν ευαίσθητες πληροφορίες χρηστών να πωλούν σε κλέφτες ταυτότητας (ή να χρησιμοποιούν τον εαυτό τους).

Ωστόσο, τι γίνεται με τις νομικές συνέπειες για τις επιχειρήσεις που πέφτουν θύματα αυτών των επιθέσεων; Έχουν την ευθύνη να προστατεύουν τις πληροφορίες; Και ποια είναι η έκταση αυτής της ευθύνης;

Η σύντομη απάντηση εξαρτάται. Στις περισσότερες σύγχρονες κοινωνίες, υπάρχουν πολύ λίγες αποκομμένες και αποξηραμένες καταστάσεις όσον αφορά την ευθύνη. Υπάρχουν βαθμοί ευλογοφάνειας, υπαιτιότητα και θέματα κλίμακας που πρέπει να ληφθούν υπόψη. Δεδομένου ότι οι ιστότοποι μπορούν να ασχοληθούν με εκατομμύρια χρήστες και ένα πολλά χρήματα σε τακτά χρονικά διαστήματα, και ως εκ τούτου εκατομμύρια τεμαχίων ενδεχομένως ιδιωτικών πληροφοριών, είναι σαφής η απάντηση.

Σημειώνεται ότι πολλά από αυτά που συνέβησαν εφαρμόστηκαν κυρίως σε μεγάλες εταιρείες, αλλά αν έχετε μια μικρή επιχείρηση (με βάση το διαδίκτυο ή με άλλο τρόπο), οι περισσότεροι από τους ίδιους νόμους θα ισχύουν εάν ο ιστότοπός σας χτυπηθεί με παραβίαση.

Ας δούμε μερικές προηγούμενες περιπτώσεις και παραβιάσεις για τον καλύτερο προσδιορισμό του κινδύνου σας:

Παραβιάσεις δεδομένων: Κλίμακα και τύποι

Η πραγματικότητα της παραβίασης των δεδομένων (στατιστικά στοιχεία 2016, πηγή: Δείκτης επιπέδου παραβίασης).

Θεωρήστε, υποθετικά, ότι η επιχείρησή σας έχει πέσει θύμα παραβίασης των δεδομένων. Πριν να παρακολουθήσετε τη ζημιά, πρέπει να καθορίσετε την κλίμακα της επίθεσης. Πώς μπορεί κανείς να το κάνει αυτό;

Πρώτον, ας εξετάσουμε τα δεδομένα που κλέψαμε:

  • Η επιχείρησή σας δεν πρόκειται να αντιμετωπίσει πολλά νομικά προβλήματα σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου που κλαπεί. Το θύμα ίσως να μην παρατηρήσει καν. Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου είναι φθηνές και συνηθισμένες και μια μικρή παραβίαση ή ρήξη στις λίστες συνδρομητών σας είναι συχνά η αιτία αυτού του είδους παραβίασης.
  • Οι πληροφορίες λογαριασμού είναι άλλο θέμα. Εάν κλέβονται λογαριασμοί από τον ιστότοπό σας, είναι δυνατή η απάτη και επομένως είναι δυνατή η αποζημίωση.
  • Εάν προκύψει παραβίαση δεδομένων και κλαπεί η οικονομική και ταυτοποίηση των πελατών σας, ειδικά μαζικά, θα είναι ένα πρόβλημα αν μπορείτε να βρείτε αμέλεια. Η κλοπή ταυτότητας θα συμβεί και θα προκύψουν άλλα πιθανά προβλήματα (σκεφτείτε τι μπορεί να κάνει ένας εγκληματίας με τη διεύθυνση κάποιου).

Η κλίμακα μπορεί επίσης να έχει μεγάλη σημασία. Πολλοί οικισμοί και πρόστιμα επιβάλλονται ανά άτομο που πλήττεται (όπως και η φύση μιας αγωγής κατηγορίας-δράσης). Η επιχείρησή σας μπορεί πιθανώς να αντέξει οικονομικά την απώλεια αρχείων 10, δεδομένου ότι είναι πολύ απίθανο η παραβίαση αυτού του μεγέθους να φτάσει στο δικαστήριο. Δεν μπορεί, ωστόσο, να χειριστεί την απώλεια οικονομικών αρχείων 100,000. Για παράδειγμα, Target πρόσφατα κατέβαλε ένα εκατομμυριοστό συμβολαίου ύψους $ 18.5 σε διάφορες κυβερνήσεις των κρατών για μια παραβίαση δεδομένων 2013 που περιλαμβάνει εκατομμύρια αρχεία πιστωτικών καρτών.

Τι προηγούμενα έχουν οριστεί;

Βασικά, ο νόμος είναι τόσο πολύτιμος όσο και για το τι είναι γραμμένο στα βιβλία, οπότε ας δούμε τι γνωρίζουμε από προηγούμενες παραβιάσεις και περιπτώσεις:

1- Οι εταιρείες μπορούν να κρατηθούν υπεύθυνες (ή σύντομα)

Οι εταιρείες και οι ιστότοποι έχουν ευθύνη έναντι των πελατών και των πελατών τους. Αυτό ισχύει ιδιαίτερα σε ορισμένους τομείς, όπως η υγειονομική περίθαλψη και ο νόμος, όπου η κακή διαχείριση αρχείων και η εμπιστευτικότητα είχαν συνέπειες πολύ πριν την ηλικία του Διαδικτύου. Αυτοί οι κανόνες εξακολουθούν να ισχύουν και αν ο ιστότοπός σας λειτουργεί σε ευαίσθητα πεδία, πρέπει να ξέρετε τι μπορείτε και τι δεν μπορείτε να κάνετε. Ο νόμος είναι σαφής.

Για όλους τους άλλους, όμως, τα ύδατα είναι ακόμα σκοτεινά ως προς την έκταση της ευθύνης, αν μόνο για τώρα. Στο Ηνωμένο Βασίλειο, οι οικισμοί και τα πρόστιμα αυξάνονται. Η νέα νομοθεσία στην ΕΕ, μόλις τεθεί σε ισχύ, θα κατέβει σκληρά στις επιχειρήσεις, ενδεχομένως επιβάλλοντας πρόστιμα σε δισεκατομμύρια δολάρια σε επιχειρήσεις που δεν προστατεύουν επαρκώς τις πληροφορίες τους και βρίσκονται σε λάθος τέλος μιας παραβίασης των δεδομένων.

Τι μπορούμε να περιμένουμε από τις Ηνωμένες Πολιτείες σχετικά με αυτό το θέμα; Αυτό είναι ελάχιστο ή και καθόλου ρητή νομοθεσία σχετικά με αυτό. Οι αγωγές κατατίθενται σχεδόν αυτόματα όταν υπάρχει παραβίαση δεδομένων μεγάλης κλίμακας, αλλά αυτό αναμένεται όταν οι δικηγόροι βλέπουν τα δολάρια και την ευκαιρία να κερδίσουν κάποια δημοσιότητα. Αντ 'αυτού, έχει εκπονηθεί κατά περίπτωση, οδηγώντας μας να δούμε άλλα παραδείγματα.

2- Οι ζημιές πρέπει να είναι καθαρές

Οι παραβιάσεις δεδομένων συμβαίνουν συχνά και συχνά εμφανίζονται πολύ μικρές.

Πολλές αγωγές από τους καταναλωτές δεν θα είναι πολύ επιτυχείς, καθώς ο πιθανός τραυματισμός στη γραμμή από την κλοπή ταυτότητας δεν θα κρατηθεί ως ισχυρό επιχείρημα. Θα πρέπει να υπάρχουν ενδείξεις πραγματικής ή επικείμενης ζημίας, η οποία είναι δύσκολο να παρασχεθεί αμέσως μετά την παραβίαση δεδομένων. Αυτό μπορεί να αλλάξει, αλλά φαίνεται να συμβαίνει μέχρι στιγμής.

Οι περισσότεροι χάκερ και εγκληματίες του κυβερνοχώρου γνωρίζουν καλύτερα από το να δοκιμάσουν τα πρόσφατα αποκτηθέντα δεδομένα και πολλά άλλα απλά ψάχνουν κάποιον να αγοράσει τα δεδομένα για δαχτυλίδια κλοπής ταυτότητας (ένας χάκερ δεν είναι πιθανό να χρησιμοποιήσει εκατομμύρια αριθμούς πιστωτικών καρτών). Ακόμα και τότε, το μεγαλύτερο μέρος της κλοπής ταυτότητας δεν θα κλαπεί ταυτόχρονα, πράγμα που σημαίνει ότι μια αγωγή κατηγορηματικής δράσης είναι πιο δύσκολο να οργανωθεί.

Το Wendy, για παράδειγμα, είχε κατηγορητήριο εναντίον τους, αλλά το υπόθεση απορρίφθηκε τελικά. Το δικαστήριο δήλωσε ότι οι αποζημιώσεις δεν ήταν επαρκείς και δεδομένου ότι οι αποζημιώσεις αυτές επιστράφηκαν, η υπόθεση δεν υπερασπίστηκε τον νόμο. Πιο ενδιαφέρον, τα δικαστήρια διαπίστωσαν απλές δόλιες χρεώσεις σε μια πιστωτική κάρτα δεν ήταν αρκετές για να δικαιολογήσουν ζημιές.

3- Αμέλεια και σωστό πρωτόκολλο

Ως παράδειγμα μιας αγωγής κατηγορίας που έλυσε, Οι πελάτες της Neiman Marcus κέρδισαν κοστούμι $ 1.6 εκατομμυρίων δολαρίων κατά της εταιρείας, αφού επιβεβαιώθηκε ότι ο λιανοπωλητής παρέλειψε να παράσχει την κατάλληλη προστασία. Παρόλο που πρόκειται για μια μεγάλη εταιρεία και όχι μόνο για μια ιστοσελίδα, εάν εκτελείτε μια επιχείρηση, αυτό είναι ένα σαφές μήνυμα ότι η παραμέληση μπορεί να μην είναι ανεκτή.

Η κυβέρνηση έχει ήδη πάει μετά από εταιρείες όπως Wyndham και TerraCom για τη μη σωστή προστασία των πληροφοριών. Μερικά παραδείγματα αδικημάτων περιλαμβάνουν:

  • Αποθήκευση πληροφοριών κάρτας χωρίς προστασία ή κρυπτογράφηση.
  • Αποτυχία χρήσης τείχους προστασίας ή άλλων μέτρων ασφάλειας σε φυσικές τοποθεσίες.
  • Χρησιμοποιώντας εύκολα υποτιθέμενους κωδικούς πρόσβασης.
  • Μην περιορίζετε τις εξωτερικές συνδέσεις.
  • Αποθήκευση πληροφοριών σε σαφώς απροστάτευτους διακομιστές.

Επιπλέον, η κυβέρνηση έχει απαιτήσει από τις εταιρείες να εφαρμόσουν καλύτερα μέτρα ασφαλείας, προσθέτοντας πρόσθετα έξοδα πέρα ​​από τα πρόστιμα.

4 - Ορισμένες εγγραφές έχουν μεγαλύτερη σημασία

Όπως αναφέρθηκε προηγουμένως σχετικά με τα μητρώα υγείας, η HIPAA (ή ισοδύναμη) θα επιβληθεί αν διαπιστωθεί ότι παραβιάζονται.

Πρόσφατα, υπήρξε σειρά σημαντικών παραβιάσεων δεδομένων για την υγεία τόσο στα κράτη όσο και στο εξωτερικό και θα ήταν ανόητο να πιστεύουμε ότι δεν θα υπάρξει αυξημένη πίεση ώστε να επιβληθεί αυστηρότερη επιβολή της νομοθεσίας και να δημιουργηθούν αυστηρότερες κυρώσεις στην ψηφιακή εποχή. Εάν ο ιστότοπός σας σχετίζεται με την υγειονομική περίθαλψη, πρέπει να λάβετε υπόψη την επαγγελματική βοήθεια για την ασφάλεια στον κυβερνοχώρο

Τα αρχεία που σχετίζονται με την άμεση οικονομική διαχείριση ή άλλες εμπιστευτικές πληροφορίες θα τηρούνται επίσης με υψηλό επίπεδο. Η Morgan Stanley απέτυχε να προστατεύσει τις πληροφορίες των πελατών και έχασε $ 1 εκατομμύρια για αυτό.

Επιπλέον, πρέπει να σημειωθεί ότι οι συμβατικές διατάξεις ή άλλες νομικά δεσμευτικές περιστάσεις θα έχουν το δικό τους βάρος σε ένα δικαστήριο. Εάν η επιχείρησή σας συμφωνεί να κρατήσει ορισμένες πληροφορίες ασφαλείς, είστε νομικά υπεύθυνοι για την προστασία της, ανεξάρτητα από άλλα προηγούμενα.

5 - Θα μπορούσε να διαφέρει ανάλογα με την περιοχή

Στις Ηνωμένες Πολιτείες, οι νόμοι διαφέρουν από κράτος σε κράτος όσον αφορά τη χρήση της τεχνολογίας και την ευθύνη της χρήσης του ιστοτόπου και της ιδιωτικής ζωής. Κάθε κράτος έχει νόμους για τα βιβλία σχετικά με το έγκλημα στον κυβερνοχώρο, αν και υπάρχουν διαφορές στις κυρώσεις και τα πρότυπα.

Μπορεί να είναι πολύ πιο περίπλοκο εάν αντιμετωπίζετε ένα διεθνές περιστατικό. Οι ενοικιαστές του διεθνούς δικαίου δεν είναι ακριβώς εύκολο να κατανοήσουν. Αυτό ισχύει ιδιαίτερα για τους νόμους που αφορούν την εταιρική ευθύνη και μάλιστα όταν πρόκειται για σχετικά νέους νόμους σχετικά με την τεχνολογία.

Όπως αναφέρθηκε, τα νομικά συστήματα λειτουργούν τόσο από το νομικό προηγούμενο όσο και από τη νομοθεσία και δεν έχουν τεθεί πολλά προηγούμενα σε αυτόν τον τομέα του δικαίου. Επίσης, δεν θέλετε να είστε ένας δοκιμαστικός φάκελος, καθώς οι άνθρωποι θα έρθουν να συσχετίσουν τον ιστότοπό σας με παραβίαση δεδομένων, ανεξάρτητα από το αν ήσασταν υπεύθυνος ή όχι. Είναι σχεδόν αδύνατο να ανακάμψει από αυτό το είδος της ζημίας στην εικόνα σας.

Περιστατικά παραβίασης σε 2016 ανά περιοχή.

Μείωση του κινδύνου ευθύνης σας

Ωστόσο, ο κίνδυνος ευθύνης σας μπορεί να μετριαστεί, ακόμα και αν βρεθείτε στο λάθος τέλος μιας παραβίασης. Εάν είστε υπεύθυνοι και ανοιχτοί για το τι συνέβη και δεν υπάρχει κανένας λογικός τρόπος που θα μπορούσατε να αποφύγετε την παραβίαση, πιθανόν να είστε στα δεξιά και να επικεντρωθείτε στην ανοικοδόμηση της επωνυμίας και του κοινού του ιστοτόπου σας. Όπως πάντα, η επιμέλεια οφείλει τα μερίσματα.

Εν ολίγοις, θα πρέπει να κάνετε τα εξής αμέσως μόλις μπορέσετε:

  • Στο μέγιστο βαθμό που είστε σε θέση, τοποθετήστε προστασίες στον ιστότοπό σας που θα προστατεύσουν τους επισκέπτες σας. Ενεργοποιήστε το HTTPS στον ιστότοπό σας, βεβαιωθείτε ότι τα σχόλιά σας είναι αυτοματοποιημένα (ή απενεργοποιήστε τα, ανάλογα με τον ιστότοπό σας), διατηρείτε ενημερωμένα τα πρόσθετα και καταργήστε τα παλιά.
  • Προστατεύστε τις συσκευές σας παρομοίως και λάβετε προφυλάξεις κατά του ανθρώπινου σφάλματος. Ένα άτομο που δεν ακολουθεί σωστή διαδικασία ή νόμους είναι πολύ πιο πιθανό να σας φέρει υπεύθυνο από έναν επόπτη που δεν έχει καμία υπεράσπιση.
  • Διαβάστε τις νομοθεσίες του κράτους σας σχετικά με το θέμα. Εάν ο οργανισμός σας μπορεί να αντέξει οικονομικά, αναζητήστε νομική συμβουλή για να καθορίσετε τον κίνδυνο ευθύνης σε περίπτωση διαρροής πληροφοριών. Να γνωρίζετε ότι αυτό είναι ένα συνεχώς μεταβαλλόμενο πεδίο, και τα προηγούμενα και οι νόμοι πριν από λίγα χρόνια μπορεί να μην ισχύουν πλέον.
  • Προσπαθήστε να αποδείξετε στο μέλλον την ασφάλεια του ιστότοπού σας όσο το δυνατόν περισσότερο. Παρόλο που δεν υπάρχει τρόπος να το κάνετε αυτό τέλεια, προσπαθήστε να φανταστείτε πιθανές στρατηγικές που μπορεί να χρησιμοποιήσει ένας εξειδικευμένος χάκερ.
  • Εάν διαπιστώσετε ότι ο ιστότοπός σας παραβιάστηκε, απαντήστε γρήγορα και αποφασιστικά. Βεβαιωθείτε ότι δεν προσπαθείτε να καλύψετε τη διαρροή ή να αποκρύψετε με άλλο τρόπο την έκταση της βλάβης. Θα σας κάνει να φαίνεστε πολύ χειρότεροι σε οποιαδήποτε πιθανή έρευνα και θα σας φανεί σαν να φταίτετε (οι χρήστες του δικτυακού σας τόπου έχουν δικαίωμα προστασίας και υπεράσπισης). Μην ενοχοποιείτε τον εαυτό σας και αποδέχεστε την πλήρη ευθύνη (ακόμη και σε μια θέση blog), αλλά μάλλον αναγνωρίζετε την κατάσταση και ενημερώνετε το χρήστη τι κάνετε για να μετριάσετε τις ζημιές και να αποφύγετε να συμβεί ξανά.

Είναι πιθανό άλλα μέτρα που μπορείτε να λάβετε για να προστατεύσετε τον εαυτό σας, αλλά είναι πάρα πολύ περιστασιακά για να μπορέσουν να δώσουν μια πραγματική εικόνα αυτού του ζητήματος σχετικά με την ευθύνη. Τα πράγματα όπως εάν τα σενάρια που χρησιμοποιείτε στον ιστότοπό σας σας κάνουν ευάλωτους (προσέξτε τις μεθόδους που χρησιμοποιείτε για τη συλλογή δεδομένων), τα ακριβή δεδομένα που συλλέγετε και το επίπεδο αλληλεπίδρασης που έχετε με το κοινό σας (οι χάκερ μπορούν να δουν τις επικοινωνίες και να παραπέμψουν τις πληροφορίες από εκεί), όταν πρόκειται για το ζήτημα της ευθύνης στον κυβερνοχώρο.

Ανεξάρτητα από τις σκέψεις σας σχετικά με την πιθανή σας ευθύνη, θα είστε καλύτερα αν προστατεύσετε τον εαυτό σας και χρησιμοποιήσετε οποιαδήποτε γνώση συναντάτε. Αυτή η κατάσταση θα συνεχίσει να αλλάζει, οπότε προσέξτε ώστε να βεβαιωθείτε ότι είστε πάνω από κάθε κίνδυνο, νομικό ή σχετικό με τον κυβερνοχώρο. Με τις σωστές ιδέες και αφοσίωση, δεν πρέπει να ανησυχείτε για αυτό το πρόβλημα.

Σχετικά με τον συντάκτη: Cassie Phillips

Η Cassie είναι ένας blogger της τεχνολογίας και του κυβερνοχώρου που γράφει τακτικά Ασφαλείς Σκέψεις. Συνήθως μπορείτε να την βρείτε αναζητώντας νέες τάσεις και προσπαθώντας να δημιουργήσετε το κοινό της. Ελπίζει ότι αυτές οι πληροφορίες θα σας βοηθήσουν να κρατήσετε μακριά από τις απειλές στο διαδίκτυο καθώς οικοδομείτε την επιχείρησή σας.

Άρθρο του WHSR Guest

Αυτό το άρθρο γράφτηκε από έναν συνεισφέροντα. Οι απόψεις του συγγραφέα παρακάτω είναι εξ ολοκλήρου δικές του και μπορεί να μην αντικατοπτρίζουν τις απόψεις του WHSR.

Συνδέομαι: