Dapatkah Anda Dimiliki Bertanggung Jawab Jika Situs Web Anda Sudah Diretas?

Artikel ditulis oleh:
  • Bisnis Online
  • Diperbarui: Jul 03, 2017

Kejahatan terhadap bisnis, layanan, dan pengecer biasanya tidak melibatkan bisnis fisik sebanyak dulu. Sebaliknya, apa yang kami temukan adalah peningkatan cybercrime dari kedua "freelancer" dan peretasan sindikat. Mereka ingin informasi pengguna yang sensitif dijual kepada pencuri identitas (atau menggunakan diri mereka sendiri).

Namun, bagaimana dengan konsekuensi hukum untuk bisnis yang menjadi korban serangan-serangan ini? Apakah mereka memiliki tanggung jawab untuk melindungi informasi? Dan sejauh mana tanggung jawab itu?

Jawaban singkatnya, itu tergantung. Di sebagian besar masyarakat modern, ada sangat sedikit situasi yang terpotong dan kering ketika menyangkut pertanggungjawaban. Ada tingkat kepantasan, kesalahan, dan masalah skala yang perlu dipertimbangkan. Mengingat bahwa situs web dapat menangani jutaan pengguna dan a banyak uang secara teratur, dan karenanya jutaan potongan informasi yang berpotensi pribadi, jawaban yang jelas tidak mungkin.

Sebagai catatan, banyak dari apa yang telah terjadi telah diterapkan sebagian besar untuk perusahaan besar, tetapi jika Anda menjalankan bisnis kecil (berbasis web atau sebaliknya), sebagian besar hukum yang sama akan berlaku jika situs web Anda terpukul dengan pelanggaran.

Mari kita lihat beberapa kasus dan pelanggaran sebelumnya untuk lebih menentukan risiko Anda:

Pelanggaran Data: Skala dan Jenis

Realitas pelanggaran data (statistik 2016, sumber: Indeks Tingkat Pelanggaran).

Pertimbangkan, secara hipotetis, bahwa bisnis Anda telah menjadi korban pelanggaran data. Sebelum Anda memperhatikan kerusakan, Anda perlu menentukan skala serangan. Bagaimana cara orang melakukan ini?

Pertama, mari kita pertimbangkan data yang dicuri:

  • Bisnis Anda tidak akan menghadapi banyak masalah hukum atas alamat email yang dicuri. Korban bahkan mungkin tidak menyadarinya. Alamat email murah dan umum, dan pelanggaran kecil atau peretasan ke daftar pelanggan Anda sering menjadi penyebab pelanggaran semacam ini.
  • Informasi akun adalah masalah lain. Jika akun dicuri dari situs web Anda, penipuan dimungkinkan, dan oleh karena itu, kerusakan dapat terjadi.
  • Jika pelanggaran data terjadi dan informasi keuangan dan identifikasi pelanggan Anda dicuri, terutama secara massal, itu akan menjadi masalah jika Anda dapat ditemukan lalai. Pencurian identitas akan terjadi, dan masalah potensial lainnya dapat muncul (pertimbangkan apa yang dapat dilakukan seorang penjahat dengan alamat seseorang).

Skala ini juga bisa sangat penting. Banyak permukiman dan denda yang dipungut per orang yang terkena dampak (seperti sifat gugatan class action). Bisnis Anda mungkin bisa membayar hilangnya catatan 10 karena sangat tidak mungkin pelanggaran ukuran ini akan sampai ke pengadilan. Namun, tidak dapat menangani hilangnya catatan keuangan 100,000. Misalnya, Target baru-baru ini membayar $ 18.5 juta penyelesaian ke berbagai pemerintah negara bagian atas pelanggaran data 2013 yang melibatkan jutaan catatan kartu kredit.

Preseden Apa yang Telah Ditetapkan?

Pada dasarnya, undang-undang itu juga tentang preseden seperti apa yang tertulis di buku, jadi mari kita lihat apa yang kita ketahui dari pelanggaran dan kasus sebelumnya:

1- Perusahaan Dapat Dimiliki Bertanggung Jawab (atau Akan Segera)

Perusahaan dan situs web memiliki tanggung jawab kepada pelanggan dan klien mereka. Hal ini terutama terjadi di bidang-bidang tertentu, seperti perawatan kesehatan dan hukum, di mana kesalahan penanganan catatan dan kerahasiaan memiliki konsekuensi jauh sebelum usia internet. Aturan ini masih berlaku, dan jika situs web Anda beroperasi di bidang sensitif, Anda harus tahu apa yang dapat dan tidak dapat Anda lakukan. Hukumnya jelas.

Namun, bagi semua orang, air masih keruh seperti tanggung jawab, jika hanya untuk saat ini. Di Inggris, pemukiman dan denda meningkat. Peraturan baru di Uni Eropa, setelah diberlakukan, akan turun dengan keras pada bisnis, berpotensi memperoleh miliaran dolar denda pada perusahaan yang tidak cukup melindungi informasi mereka dan menemukan diri mereka di ujung yang salah dari pelanggaran data.

Apa yang bisa kita harapkan dari Amerika Serikat dalam hal ini? Ini sedikit atau tidak ada undang-undang eksplisit tentang ini. Tuntutan hukum diajukan hampir secara otomatis ketika ada pelanggaran data skala besar, tetapi itu yang diharapkan ketika pengacara melihat tanda dolar dan kesempatan untuk mendapatkan publisitas. Sebaliknya, ini dilakukan berdasarkan kasus per kasus, mengarahkan kita untuk melihat contoh lain.

2- Kerusakan Harus Jelas

Pelanggaran data sering terjadi dan sering kali mereka tampak sangat sedikit.

Banyak tuntutan hukum dari konsumen kemungkinan tidak akan terlalu berhasil, karena potensi cedera di bawah garis dari pencurian identitas tidak akan bertahan sebagai argumen yang kuat. Diperlukan bukti cedera aktual atau segera, yang sulit diberikan segera setelah pelanggaran data. Ini mungkin berubah, tetapi tampaknya menjadi kasus sejauh ini.

Sebagian besar peretas dan penjahat cyber tahu lebih baik daripada mencoba data yang baru diperoleh, dan banyak lagi hanya mencari seseorang untuk membeli data untuk cincin pencurian identitas (satu peretas tidak mungkin menggunakan jutaan nomor kartu kredit). Bahkan kemudian, sebagian besar pencurian identitas tidak akan dicuri secara bersamaan, yang berarti gugatan class action lebih sulit diatur.

Wendy, misalnya, memiliki tindakan kelas yang diajukan terhadap mereka, tetapi Kasus akhirnya diberhentikan. Pengadilan menyatakan kerusakan itu tidak cukup, dan karena kerusakan itu diganti, kasusnya tidak berdiri di depan hukum. Lebih menarik lagi, pengadilan menemukan tuduhan penipuan sederhana pada kartu kredit tidak cukup untuk menjamin kerusakan.

3- Kelalaian dan Protokol yang Tepat

Sebagai contoh gugatan class action yang berhasil, Pelanggan Neiman Marcus memenangkan hadiah $ 1.6 juta dolar terhadap perusahaan setelah dikonfirmasi pengecer gagal memberikan perlindungan yang tepat. Meskipun ini adalah perusahaan besar dan bukan hanya situs web, jika Anda menjalankan bisnis, ini adalah pesan yang jelas bahwa penelantaran mungkin tidak dapat ditoleransi.

Pemerintah telah pergi setelah perusahaan seperti Wyndham & TerraCom karena gagal melindungi informasi dengan benar. Beberapa contoh pelanggaran meliputi:

  • Menyimpan informasi kartu tanpa perlindungan atau enkripsi.
  • Gagal menggunakan firewall atau tindakan keamanan lainnya di lokasi fisik.
  • Menggunakan kata sandi yang mudah ditebak.
  • Gagal membatasi koneksi luar.
  • Menyimpan informasi tentang server yang tidak terlindungi dengan jelas.

Selain itu, pemerintah telah mengharuskan perusahaan untuk menerapkan langkah-langkah keamanan yang lebih baik, menambahkan biaya tambahan di atas denda.

4- Catatan Tertentu Lebih Lanjut

Seperti yang disebutkan sebelumnya mengenai catatan kesehatan, HIPAA (atau yang setara) akan diberlakukan jika ditemukan dilanggar.

Baru-baru ini, ada serangkaian pelanggaran data kesehatan tingkat tinggi baik di Amerika maupun di luar negeri, dan akan sangat bodoh untuk berpikir bahwa tidak akan ada tekanan yang meningkat untuk mengamanatkan penegakan yang lebih ketat dan menciptakan hukuman yang lebih berat di era digital. Jika situs web Anda terkait dengan perawatan kesehatan, Anda harus mempertimbangkan bantuan keamanan maya profesional.

Rekaman yang berkaitan dengan manajemen keuangan langsung atau informasi rahasia lainnya juga akan diadakan dengan standar yang tinggi. Morgan Stanley gagal melindungi informasi klien dan kehilangan $ 1 juta untuk itu.

Selain itu, perlu diperhatikan ketentuan kontrak atau keadaan lain yang mengikat secara hukum akan memiliki bobot sendiri di pengadilan. Jika bisnis Anda setuju untuk menyimpan beberapa informasi yang aman, Anda secara hukum bertanggung jawab untuk menjaganya tetap aman, terlepas dari preseden lainnya.

5-Itu Bisa Berbeda dengan Wilayah

Di Amerika Serikat, undang-undang berbeda dari satu negara bagian ke negara bagian lainnya tentang penggunaan teknologi dan tanggung jawab penggunaan dan privasi situs web. Setiap negara memiliki undang-undang tentang buku-buku tentang kejahatan cyber, meskipun ada perbedaan dalam hukuman dan standar.

Mungkin jauh lebih rumit jika Anda berurusan dengan insiden internasional. Para penyewa hukum internasional tidak mudah dimengerti. Hal ini terutama terjadi dengan undang-undang tentang tanggung jawab perusahaan, dan terlebih lagi ketika undang-undang yang relatif baru tentang teknologi dilibatkan.

Sebagaimana dinyatakan, sistem hukum beroperasi sebanyak oleh preseden hukum seperti oleh undang-undang, dan belum ada banyak preseden yang ditetapkan dalam bidang hukum ini. Anda tidak ingin menjadi kasus uji coba, karena orang-orang akan mengaitkan situs Anda dengan pelanggaran data, apakah Anda bertanggung jawab atau tidak. Hampir tidak mungkin untuk memulihkan dari jenis kerusakan pada gambar Anda.

Pelanggaran insiden di 2016 menurut wilayah.

Mengurangi Risiko Kewajiban Anda

Namun, risiko pertanggungjawaban Anda dapat dikurangi, bahkan jika Anda berada di ujung pelanggaran yang salah. Jika Anda bertanggung jawab dan terbuka tentang apa yang terjadi, dan tidak ada cara yang masuk akal untuk mencegah pelanggaran tersebut, Anda kemungkinan akan berada di pihak yang benar dan dapat fokus untuk membangun kembali merek dan pemirsa situs web Anda. Seperti biasa, due diligence membayar dividen.

Singkatnya, Anda harus melakukan hal berikut secepat mungkin:

  • Sejauh yang Anda bisa, letakkan perlindungan di situs web Anda yang akan melindungi pengunjung Anda. Dapatkan HTTPS diaktifkan di situs web Anda, pastikan komentar Anda secara otomatis dimoderasi (atau nonaktifkan mereka, tergantung pada situs web Anda), terus perbarui plugin Anda dan hapus yang sudah ketinggalan zaman.
  • Lindungi perangkat Anda dengan cara yang sama dan lakukan tindakan pencegahan terhadap kesalahan manusia. Seseorang yang tidak mengikuti prosedur atau hukum yang tepat jauh lebih mungkin membuat Anda bertanggung jawab daripada supervirus yang tidak memiliki pertahanan.
  • Baca hukum negara Anda tentang masalah ini. Jika organisasi Anda mampu membelinya, carilah penasihat hukum untuk menentukan risiko pertanggungjawaban jika ada kebocoran informasi. Sadarilah ini adalah bidang yang terus berubah, dan preseden dan hukum beberapa tahun yang lalu mungkin tidak lagi berlaku.
  • Cobalah untuk masa depan bukti keamanan situs web Anda sebanyak mungkin. Meskipun tidak ada cara untuk melakukan ini dengan sempurna, coba bayangkan strategi potensial yang mungkin digunakan peretas terampil.
  • Jika Anda menemukan situs web Anda dilanggar, tanggapi dengan cepat dan tegas. Pastikan Anda tidak mencoba menutupi kebocoran atau menyembunyikan tingkat kerusakan. Ini hanya akan membuat Anda terlihat jauh lebih buruk dalam penyelidikan potensial dan akan membuatnya terlihat seperti Anda harus disalahkan (pengguna situs web Anda memiliki hak untuk melindungi dan membela diri). Jangan melibatkan diri Anda dan menerima kesalahan sepenuhnya (bahkan dalam posting blog), tetapi lebih mengakui situasi dan beri tahu pengguna apa yang Anda lakukan untuk mengurangi kerusakan dan mencegahnya terjadi lagi.

Ada kemungkinan langkah-langkah lain yang dapat Anda ambil untuk melindungi diri Anda, tetapi mereka terlalu situasional untuk dapat menawarkan wawasan nyata ke dalam pertanyaan tentang pertanggungjawaban ini. Hal-hal seperti apakah skrip yang Anda gunakan di situs web Anda membuat Anda rentan (hati-hati tentang metode apa yang Anda gunakan untuk mengumpulkan data), data pasti yang Anda kumpulkan dan tingkat interaksi yang Anda miliki dengan audiens Anda (peretas mungkin melihat komunikasi dan meramalkan kemungkinan informasi dari sana) masalah ketika datang ke masalah tanggung jawab cybersecurity.

Terlepas dari pemikiran Anda tentang kewajiban potensial Anda, Anda akan lebih baik jika Anda melindungi diri sendiri dan menggunakan pengetahuan apa pun yang Anda temui. Situasi ini akan terus berubah, jadi tetap waspada untuk memastikan Anda berada di atas semua risiko, legal atau yang terkait dengan cybersecurity. Dengan ide dan dedikasi yang tepat, Anda tidak perlu khawatir tentang masalah ini.

Tentang Pengarang: Cassie Phillips

Cassie adalah blogger teknologi dan cybersecurity yang menulis secara teratur Pikiran Aman. Anda biasanya dapat menemukan dia meneliti tren baru dan mencoba membangun audiensnya. Dia berharap informasi ini akan membantu Anda menjauhi ancaman online saat Anda membangun bisnis Anda.

Tentang Tamu WHSR

Artikel ini ditulis oleh seorang kontributor tamu. Pandangan penulis di bawah sepenuhnya miliknya sendiri dan mungkin tidak mencerminkan pandangan WHSR.