Puoi essere ritenuto responsabile se il tuo sito web viene hackerato?

Articolo scritto da:
  • Business Online
  • Aggiornato: Lug 03, 2017

Il crimine contro aziende, servizi e rivenditori di solito non coinvolge le aziende fisiche quanto prima. Invece, ciò che troviamo è un aumento del crimine informatico da parte sia dei "freelance" che dei sindacati degli hacker. Vogliono informazioni riservate degli utenti per vendere a ladri di identità (o usare se stessi).

Eppure, che dire delle conseguenze legali per le imprese che cadono vittime di questi attacchi? Hanno la responsabilità di proteggere le informazioni? E qual è l'estensione di questa responsabilità?

La risposta breve, dipende. Nella maggior parte delle società moderne, ci sono pochissime situazioni tagliate e secche quando si tratta di responsabilità. Ci sono gradi di ragionevolezza, colpevolezza e questioni di scala da considerare. Dato che i siti web possono trattare con milioni di utenti e a grande quantità di denaro su base regolare e quindi milioni di informazioni potenzialmente private, una risposta chiara è impossibile.

Come nota, gran parte di ciò che è accaduto si applica principalmente alle grandi società, ma se gestisci una piccola impresa (basata sul web o in altro modo), la maggior parte delle stesse leggi si applicherebbe qualora il tuo sito web venisse colpito da una violazione.

Esaminiamo alcuni casi e violazioni precedenti per determinare meglio il rischio:

Violazioni dei dati: scala e tipi

La realtà della violazione dei dati (statistiche 2016, fonte: Indice del livello di violazione).

Prendi in considerazione, in via ipotetica, che la tua azienda sia vittima di una violazione dei dati. Prima di partecipare al danno, è necessario determinare la scala dell'attacco. Come si fa a fare questo?

Innanzitutto, consideriamo i dati rubati:

  • La tua azienda non si troverà di fronte a molti problemi legali per il furto di un indirizzo email. La vittima potrebbe anche non accorgersene. Gli indirizzi e-mail sono economici e comuni, e una piccola violazione o una modifica nelle liste degli iscritti è spesso la causa di questo tipo di violazione.
  • Le informazioni sull'account sono un'altra cosa. Se gli account vengono rubati dal tuo sito web, la frode è possibile, e quindi, i danni sono possibili.
  • Se si verifica una violazione dei dati e le informazioni finanziarie e identificative dei vostri clienti vengono rubate, soprattutto in massa, sarà un problema se si può essere trovati negligenti. Si verificherà un furto di identità e potrebbero sorgere altri potenziali problemi (considerare cosa può fare un criminale con l'indirizzo di qualcuno).

Anche la scala può essere importante. Molti insediamenti e multe sono riscossi per persona colpita (come la natura di un'azione legale collettiva). La tua azienda può probabilmente permettersi la perdita dei record 10 in quanto è molto improbabile che una violazione di queste dimensioni possa essere giudicata. Tuttavia, non può gestire la perdita dei registri finanziari 100,000. Ad esempio, Target recentemente ha pagato un accordo $ 18.5 milioni a vari governi statali per una violazione dei dati 2013 che coinvolge milioni di record di carte di credito.

Quali Precedenti sono stati impostati?

Fondamentalmente, la legge è tanto sui precedenti quanto su ciò che è scritto nei libri, quindi diamo un'occhiata a ciò che sappiamo dalle violazioni e dai casi precedenti:

1- Le aziende possono essere ritenute responsabili (o saranno presto)

Aziende e siti Web hanno una responsabilità nei confronti dei propri clienti e clienti. Ciò è particolarmente vero in alcuni campi, come l'assistenza sanitaria e la legge, in cui l'uso scorretto di documenti e riservatezza ha avuto conseguenze ben prima dell'età di Internet. Queste regole si applicano ancora e se il tuo sito web opera in settori sensibili, dovresti sapere cosa puoi e cosa non puoi fare. La legge è chiara.

Per tutti gli altri, però, le acque sono ancora torbide per quanto riguarda la portata della responsabilità, se non altro per ora. Nel Regno Unito, gli insediamenti e le multe sono in aumento. Nuova legislazione nell'UE, una volta entrato in vigore, verrà giù duramente per le imprese, che potrebbero imporre miliardi di dollari di multe a imprese che non proteggono sufficientemente le loro informazioni e si trovano nella parte sbagliata di una violazione dei dati.

Cosa possiamo aspettarci dagli Stati Uniti al riguardo? Questa è poca o nessuna legislazione esplicita su questo. Le cause legali sono archiviate quasi automaticamente in caso di violazione dei dati su larga scala, ma è normale che gli avvocati vedano i simboli del dollaro e la possibilità di ottenere pubblicità. Invece, ha funzionato caso per caso, portandoci a guardare altri esempi.

2- I danni devono essere chiari

Le violazioni dei dati si verificano frequentemente e spesso sembrano significare molto poco.

Molte azioni legali da parte dei consumatori probabilmente non avrebbero avuto troppo successo, in quanto un potenziale pregiudizio lungo la linea del furto di identità non rappresenterebbe una valida argomentazione. Ci dovrebbe essere la prova di una lesione effettiva o imminente, che è difficile da fornire immediatamente dopo una violazione dei dati. Questo potrebbe cambiare, ma sembra essere il caso finora.

La maggior parte degli hacker e dei criminali informatici conosce meglio di provare i nuovi dati acquisiti, e molti altri sono semplicemente alla ricerca di qualcuno che acquisti i dati per i furti di identità (un hacker non utilizzerà probabilmente milioni di numeri di carte di credito). Anche allora, la maggior parte del furto di identità non verrebbe rubato contemporaneamente, il che significa che un'azione legale collettiva è più difficile da organizzare.

Wendy's, ad esempio, ha avuto un'azione collettiva contro di loro, ma il il caso fu infine respinto. Il tribunale ha dichiarato che i danni non erano sufficienti, e dal momento che tali danni sono stati rimborsati, il caso non si è presentato di fronte alla legge. Più interessante, i tribunali hanno scoperto che semplici addebiti fraudolenti su una carta di credito non erano sufficienti a garantire i danni.

3- Negligenza e protocollo corretto

Come esempio di una causa legale collettiva che ha funzionato, I clienti di Neiman Marcus hanno vinto un abito da $ 1.6 da un milione di dollari contro la società dopo che è stato confermato il rivenditore non è riuscito a fornire una protezione adeguata. Anche se questa è una grande azienda e non solo un sito Web, se gestisci un'attività commerciale, questo è un chiaro messaggio che la negligenza potrebbe non essere tollerata.

Il governo ha già seguito società come Wyndham e Terracom per non aver protetto adeguatamente le informazioni. Alcuni esempi di reati includono:

  • Memorizzazione delle informazioni della carta senza protezione o crittografia.
  • Mancato utilizzo di firewall o altre misure di sicurezza in luoghi fisici.
  • Usando password facilmente indovinate.
  • Non riuscendo a limitare le connessioni esterne.
  • Memorizzazione di informazioni su server chiaramente non protetti.

Inoltre, il governo ha richiesto alle aziende di implementare migliori misure di sicurezza, aggiungendo costi aggiuntivi in ​​aggiunta alle multe.

4: alcuni record contano di più

Come accennato in precedenza per i registri sanitari, HIPAA (o un equivalente) sarà applicato se trovato da violare.

Recentemente, c'è stata una serie di violazioni dei dati sulla salute di alto profilo sia negli Stati Uniti che all'estero, e sarebbe sciocco pensare che non ci sarà una crescente pressione per imporre un'attuazione più severa e creare pene più severe nell'era digitale. Se il tuo sito web è correlato all'assistenza sanitaria, dovresti prendere in considerazione l'aiuto della sicurezza informatica professionale.

Anche le registrazioni relative alla gestione finanziaria diretta o ad altre informazioni riservate saranno mantenute ad un alto livello. Morgan Stanley non è riuscito a proteggere le informazioni del cliente e ha perso $ 1 milioni per questo.

Inoltre, si dovrebbe notare che le clausole contrattuali o altre circostanze giuridicamente vincolanti avranno il loro peso in un tribunale. Se la tua azienda accetta di mantenere alcune informazioni al sicuro, sei legalmente responsabile di tenerlo al sicuro, indipendentemente da altri precedenti.

5- Potrebbe essere diverso per regione

Negli Stati Uniti, le leggi differiscono da stato a stato per quanto riguarda l'uso della tecnologia e la responsabilità dell'uso del sito web e della privacy. Ogni stato ha leggi sui libri riguardanti il ​​crimine informatico, anche se ci sono differenze in termini di sanzioni e standard.

Potrebbe essere molto più complicato se hai a che fare con un incidente internazionale. Gli inquilini del diritto internazionale non sono esattamente facili da capire. Ciò vale in particolare per le leggi riguardanti la responsabilità aziendale e ancor più quando sono in gioco leggi relativamente nuove riguardanti la tecnologia.

Come affermato, i sistemi giuridici operano tanto dal precedente legale quanto dalla legislazione, e non ci sono stati molti precedenti stabiliti in questo campo di diritto. Non vuoi nemmeno essere un caso di prova, poiché le persone arriveranno ad associare il tuo sito a una violazione dei dati, indipendentemente dal fatto che tu fossi responsabile o meno. È quasi impossibile recuperare da quel tipo di danno alla tua immagine.

Violazione di incidenti in 2016 per regione.

Ridurre il rischio di responsabilità

Il tuo rischio di responsabilità può essere mitigato, anche se ti trovi nella parte sbagliata di una violazione. Se sei responsabile e apri su quello che è successo, e non c'è un modo ragionevole in cui potresti aver impedito la violazione, probabilmente sarai nel giusto e concentrarti sulla ricostruzione del marchio e del pubblico del tuo sito web. Come sempre, la due diligence paga i dividendi.

In breve, dovresti fare quanto segue il prima possibile:

  • Nella misura massima che sei in grado, posiziona protezioni sul tuo sito Web che proteggerà i tuoi visitatori. Ottieni HTTPS abilitato sul tuo sito web, assicurati che i tuoi commenti siano automaticamente moderati (o disabilitati, a seconda del tuo sito web), tieni aggiornati i plugin e rimuovi quelli che non sono aggiornati.
  • Proteggi i tuoi dispositivi in ​​modo simile e prendi precauzioni contro l'errore umano. Una persona che non segue procedure o leggi appropriate ha molte più probabilità di renderti responsabile di un supervisore che non ha difesa.
  • Leggi le leggi dello stato in merito. Se la tua organizzazione può permetterselo, cerca di ottenere consulenza legale per determinare il rischio di responsabilità in caso di perdita di informazioni. Siate consapevoli che questo è un campo in continua evoluzione e che i precedenti e le leggi di alcuni anni fa potrebbero non essere più applicabili.
  • Prova a proteggere il più possibile la sicurezza del tuo sito Web. Anche se non c'è modo di farlo perfettamente, prova ad immaginare le strategie potenziali che un hacker esperto potrebbe usare.
  • Se trovi che il tuo sito Web è stato violato, rispondi rapidamente e in modo deciso. Assicurati di non cercare di coprire la perdita o altrimenti di nascondere l'entità del danno. Ti farà solo apparire peggio in qualsiasi indagine potenziale e ti farà apparire come se la colpa fosse tua (gli utenti del tuo sito web hanno il diritto di proteggersi e difendersi). Non implicare te stesso e accettare la piena colpa (anche in un post del blog), ma piuttosto riconoscere la situazione e dire all'utente cosa stai facendo per mitigare il danno e impedire che si ripresenti.

Ci sono probabilmente altre misure che puoi adottare per proteggerti, ma sono troppo situazionali per essere in grado di offrire una vera comprensione di questa domanda sulla responsabilità. Cose come se gli script che utilizzi sul tuo sito web ti rendano vulnerabili (fai attenzione a quali metodi utilizzi per raccogliere dati), i dati esatti che raccogli e il livello di interazione che hai con il pubblico (gli hacker potrebbero visualizzare comunicazioni ed estrapolare informazioni da lì) importa quando si tratta della questione della responsabilità della cibersicurezza.

Indipendentemente dai tuoi pensieri sulla tua potenziale responsabilità, starai meglio se ti proteggi e usi le conoscenze che conosci. Questa situazione continuerà a cambiare, quindi state vigili per essere sicuri di essere al corrente di tutti i rischi, legali o legati alla sicurezza informatica. Con le giuste idee e dedizione, non dovresti preoccuparti di questo problema.

Circa l'autore: Cassie Phillips

Cassie è un blogger di tecnologia e sicurezza informatica che scrive regolarmente per Pensieri sicuri. Di solito puoi trovarla a cercare nuove tendenze e provare a costruire il suo pubblico. Spera che queste informazioni ti aiutino a stare lontano dalle minacce online mentre costruisci la tua attività.

Articolo dell'ospite WHSR

Questo articolo è stato scritto da un collaboratore ospite. Le viste dell'autore di seguito sono interamente sue e potrebbero non riflettere le opinioni di WHSR.