Bolehkah Anda Dipertanggungjawabkan Jika Laman Web Anda Dapat Dipasaran?

Artikel yang ditulis oleh:
  • Perniagaan Online
  • Dikemaskini: Jul 03, 2017

Jenayah terhadap perniagaan, perkhidmatan dan peruncit biasanya tidak melibatkan perniagaan fizikal seperti biasa. Sebaliknya, apa yang kami dapati adalah peningkatan jenayah siber dari kedua-dua "freelancer" dan sindiket hacking. Mereka mahu maklumat pengguna sensitif untuk dijual kepada pencuri identiti (atau menggunakan diri mereka sendiri).

Walau bagaimanapun, bagaimana pula dengan kesan undang-undang kepada perniagaan yang menjadi korban serangan ini? Adakah mereka mempunyai tanggungjawab untuk melindungi maklumat? Dan sejauh manakah tanggungjawab itu?

Jawapan ringkas, ia bergantung. Dalam masyarakat yang paling moden, terdapat banyak keadaan yang dipotong dan kering apabila ia berkaitan dengan tanggungjawab. Terdapat darjah kebolehmampuan, kebencian dan perkara skala untuk dipertimbangkan. Memandangkan laman web boleh menangani berjuta-juta pengguna dan a banyak wang secara teratur, dan dengan itu jutaan keping maklumat berpotensi swasta, jawapan yang jelas tidak mungkin.

Sebagai nota, sebahagian besar daripada apa yang berlaku telah digunakan kebanyakannya untuk syarikat besar, tetapi jika anda menjalankan perniagaan kecil (web-based atau sebaliknya), kebanyakan undang-undang yang sama akan berlaku sekiranya laman web anda mendapat hit dengan pelanggaran.

Mari lihat beberapa kes sebelumnya dan pelanggaran untuk menentukan risiko anda:

Pelanggaran Data: Skala dan Jenis

Realiti pelanggaran data (statistik 2016, sumber: Indeks Tahap Pelanggaran).

Pertimbangkan, hipotesis, bahawa perniagaan anda telah menjadi korban kepada pelanggaran data. Sebelum anda menghadiri kerosakan, anda perlu menentukan skala serangan tersebut. Bagaimanakah seseorang melakukan ini?

Pertama, mari kita pertimbangkan data yang telah dicuri:

  • Perniagaan anda tidak akan menghadapi banyak masalah undang-undang ke atas alamat e-mel yang dicuri. Mangsa mungkin tidak menyedarinya. Alamat e-mel adalah murah dan biasa, dan pelanggaran kecil atau hack ke senarai pelanggan anda sering menjadi punca pelanggaran seperti ini.
  • Maklumat akaun adalah perkara lain. Jika akaun dicuri dari laman web anda, penipuan adalah mungkin, dan oleh itu, ganti rugi mungkin.
  • Jika pelanggaran data berlaku dan maklumat kewangan dan pengenalpastian pelanggan anda dicuri, terutamanya secara beramai-ramai, ia akan menjadi masalah jika anda boleh didapati lalai. Pencurian identiti akan berlaku, dan masalah potensi lain dapat timbul (pertimbangkan apa yang dapat dilakukan oleh seorang penjahat dengan alamat seseorang).

Skala ini juga boleh menjadi sangat penting. Banyak penempatan dan denda dilevi setiap orang yang terjejas (seperti jenis tuntutan mahkamah tindakan kelas). Perniagaan anda mungkin boleh kehilangan rekod 10 kerana ia tidak mungkin pelanggaran saiz ini akan menjadikannya di mahkamah. Walau bagaimanapun, ia tidak dapat menangani kehilangan rekod kewangan 100,000. Sebagai contoh, Sasaran baru-baru ini membayar penyelesaian $ juta 18.5 kepada pelbagai kerajaan negeri untuk pelanggaran data 2013 yang melibatkan berjuta-juta rekod kad kredit.

Apakah Precedents Telah Ditetapkan?

Pada asasnya, undang-undang adalah banyak tentang duluan kerana ia adalah mengenai apa yang ditulis dalam buku-buku, jadi mari kita lihat apa yang kita tahu dari pelanggaran sebelumnya dan kes:

1- Syarikat-syarikat boleh Dipertanggungjawabkan (atau Akan Segera)

Syarikat dan laman web mempunyai tanggungjawab kepada pelanggan dan pelanggan mereka. Ini terutamanya berlaku dalam bidang-bidang tertentu, seperti penjagaan kesihatan dan undang-undang, di mana penyalahgunaan rekod dan kerahsiaan mempunyai akibat jauh sebelum zaman Internet. Peraturan ini masih terpakai, dan jika tapak web anda beroperasi dalam bidang sensitif, anda harus tahu apa yang anda boleh dan tidak boleh lakukan. Undang-undang itu jelas.

Walau bagaimanapun, bagi orang lain, perairan masih keruh pada tahap tanggungjawab, jika hanya untuk sekarang. Di UK, penempatan dan denda semakin meningkat. Undang-undang baru di Kesatuan Eropah, apabila ia mula berkuatkuasa, akan turun dengan keras pada perniagaan, berpotensi membelanjakan berbilion-bilion dolar dalam denda pada firma yang tidak cukup melindungi maklumat mereka dan mendapati diri mereka pada akhir salah pelanggaran data.

Apa yang boleh kita harapkan dari Amerika Syarikat mengenai perkara ini? Ini tidak ada undang-undang yang jelas mengenai perkara ini. Tindakan undang-undang difailkan hampir secara automatik apabila terdapat pelanggaran data berskala besar, tetapi itu diharapkan apabila pengacara melihat tanda dolar dan peluang untuk mendapatkan beberapa publisiti. Sebaliknya, ia dibuat berdasarkan kes demi kes, membawa kita untuk melihat contoh lain.

2- Kerosakan Harus Bersih

Pelanggaran data berlaku dengan kerap dan selalunya mereka kelihatan sangat sedikit.

Banyak tindakan undang-undang daripada pengguna mungkin tidak akan terlalu berjaya, kerana kecederaan berpotensi dari garis kecurian identiti tidak akan dianggap sebagai hujah yang kuat. Perlu ada bukti kecederaan sebenar atau pasti, yang sukar diberikan segera setelah pelanggaran data. Ini mungkin berubah, tetapi ia sepertinya berlaku setakat ini.

Kebanyakan penggodam dan penjenayah siber tahu lebih baik daripada mencuba data yang baru diperoleh, dan banyak lagi mencari seseorang untuk membeli data untuk cincin kecurian identiti (seorang penggodam tidak mungkin menggunakan berjuta-juta nombor kad kredit). Walaupun begitu, kebanyakan kecurian identiti tidak akan dicuri pada masa yang sama, bererti gugatan aksi kelas lebih sukar diatur.

Sebagai contoh, Wendy mempunyai tindakan kelas yang ditimbulkan terhadap mereka, tetapi kes akhirnya ditolak. Mahkamah menyatakan bahawa ganti rugi tidak mencukupi, dan sejak ganti rugi itu dibayar balik, kes itu tidak berdiri di hadapan undang-undang. Lebih menarik lagi, mahkamah mendapati caj penipuan yang mudah pada kad kredit tidak mencukupi untuk menjamin ganti rugi.

Protokol 3- Kelalaian dan Betul

Sebagai contoh tindakan tuntutan kelas yang berjaya dilaksanakan, Pelanggan Neiman Marcus memenangi saman dolar AS $ 1.6 terhadap syarikat selepas ia disahkan peruncit itu gagal memberikan perlindungan yang tepat. Walaupun ini adalah sebuah syarikat besar dan bukan hanya sebuah laman web, jika anda menjalankan perniagaan, ini adalah mesej yang jelas bahawa pengabaian mungkin tidak dapat diterima.

Kerajaan telah pergi selepas syarikat-syarikat seperti Wyndham dan TerraCom kerana gagal melindungi maklumat dengan betul. Beberapa contoh kesalahan termasuk:

  • Menyimpan maklumat kad tanpa perlindungan atau penyulitan.
  • Gagal menggunakan firewall atau langkah keselamatan lain di lokasi fizikal.
  • Menggunakan kata laluan mudah ditebak.
  • Gagal untuk menyekat sambungan luar.
  • Menyimpan maklumat mengenai pelayan yang tidak dilindungi dengan jelas.

Di samping itu, kerajaan telah menghendaki syarikat-syarikat untuk melaksanakan langkah-langkah keselamatan yang lebih baik, dengan menambah kos tambahan di atas denda.

4- Rekod Tertentu Lebih Banyak

Seperti yang disebutkan sebelumnya mengenai rekod kesihatan, HIPAA (atau setara) akan dikuatkuasakan jika didapati melanggar.

Baru-baru ini, terdapat satu siri data kesihatan berprofil tinggi yang melanggar kedua-dua negara dan di luar negara, dan ia akan menjadi bodoh untuk berfikir bahawa tidak akan ada peningkatan tekanan untuk menguatkuasakan penguatkuasaan yang lebih ketat dan mewujudkan penalti yang lebih keras dalam era digital. Jika laman web anda berkaitan dengan penjagaan kesihatan, anda harus mempertimbangkan pertolongan keselamatan siber profesional.

Rekod yang berkaitan dengan pengurusan kewangan langsung atau maklumat sulit lain juga akan dipegang pada standard yang tinggi. Morgan Stanley gagal melindungi maklumat pelanggan dan kehilangan $ 1 juta untuknya.

Di samping itu, harus diperhatikan ketetapan kontrak atau keadaan lain yang mengikat secara hukum akan memiliki berat sendiri di mahkamah undang-undang. Sekiranya perniagaan anda bersetuju untuk menyimpan maklumat yang selamat, anda bertanggungjawab secara sah untuk memastikannya selamat, tanpa mengira pendahuluan yang lain.

5- Ia Boleh Berbeza mengikut Wilayah

Di Amerika Syarikat, undang-undang berbeza dari negeri ke negeri mengenai penggunaan teknologi dan tanggungjawab penggunaan laman web dan privasi. Setiap negeri mempunyai undang-undang mengenai buku mengenai jenayah siber, walaupun terdapat perbezaan dalam penalti dan piawaian.

Ia mungkin jauh lebih rumit sekiranya anda berurusan dengan kejadian antarabangsa. Penyewa undang-undang antarabangsa tidak mudah difahami. Ini terutama berlaku dengan undang-undang mengenai tanggungjawab korporat, dan lebih-lebih lagi apabila undang-undang yang agak baru mengenai teknologi terlibat.

Sebagaimana yang dinyatakan, sistem undang-undang beroperasi sebanyak duluan undang-undang seperti undang-undang, dan tidak ada banyak preseden yang ditetapkan dalam bidang undang-undang ini. Anda tidak mahu menjadi kes ujian, sama ada apabila orang akan mengaitkan laman web anda dengan pelanggaran data, sama ada anda bertanggungjawab atau tidak. Ia hampir mustahil untuk pulih dari jenis kerosakan pada imej anda.

Insiden pelanggaran dalam 2016 mengikut wilayah.

Mengurangkan Risiko Liabiliti Anda

Risiko liabiliti anda boleh dikurangkan, walaupun, walaupun anda mendapati diri anda berada di hujung yang salah pelanggaran. Jika anda bertanggungjawab dan terbuka tentang apa yang berlaku, dan tidak ada cara yang munasabah yang anda mungkin telah menghalang pelanggaran itu, anda kemungkinan akan berada di sebelah kanan dan boleh memberi tumpuan untuk membina semula jenama dan penonton laman web anda. Seperti biasa, usaha wajar membayar dividen.

Ringkasnya, anda harus melakukan perkara berikut dengan secepat mungkin:

  • Setakat sepenuhnya yang anda dapat, letakkan perlindungan di laman web anda yang akan melindungi pelawat anda. Dapatkan HTTPS didayakan di laman web anda, pastikan komen anda dipadamkan secara automatik (atau lumpuhkannya, bergantung pada tapak web anda), pastikan plugin anda terkini dan keluarkan apa-apa yang lapuk.
  • Lindungi peranti anda dengan sama dan ambil langkah berjaga-jaga terhadap kesilapan manusia. Seseorang yang tidak mengikut prosedur atau undang-undang yang betul adalah lebih cenderung untuk membuat anda bertanggungjawab daripada penyelia yang tidak mempunyai pertahanan.
  • Baca tentang undang-undang negeri anda mengenai perkara itu. Sekiranya organisasi anda mampu, sila dapatkan nasihat undang-undang untuk menentukan risiko liabiliti sekiranya terdapat kebocoran maklumat. Menyedari ini adalah bidang yang sentiasa berubah, dan pendahuluan dan undang-undang beberapa tahun yang lalu mungkin tidak lagi berlaku.
  • Cuba bukti masa depan keselamatan laman web anda sebanyak mungkin. Walaupun tidak ada cara untuk melakukan ini dengan sempurna, cuba bayangkan kemungkinan strategi yang mungkin digunakan penggodam mahir.
  • Jika anda mendapati laman web anda melanggar, balas dengan cepat dan tegas. Pastikan anda tidak cuba menutupi kebocoran atau sebaliknya menyembunyikan tahap kerosakan. Ia hanya akan membuat anda kelihatan lebih teruk dalam sebarang siasatan yang berpotensi dan akan menjadikannya kelihatan seperti anda menyalahkan (pengguna laman web anda mempunyai hak untuk melindungi dan mempertahankan diri). Jangan mengaplikasikan diri anda dan menyalahkan sepenuhnya (walaupun dalam catatan blog), tetapi sebaliknya mengakui keadaan dan memberitahu pengguna apa yang anda lakukan untuk mengurangkan kerosakan dan mencegahnya daripada berlaku lagi.

Terdapat kemungkinan langkah lain yang boleh anda ambil untuk melindungi diri anda, tetapi mereka terlalu situasional untuk dapat memberikan gambaran sebenar mengenai soalan ini mengenai liabiliti. Perkara seperti apakah skrip yang anda gunakan di laman web anda membuat anda terdedah (berhati-hati tentang kaedah yang anda gunakan untuk mengumpul data), data yang tepat yang anda kumpulkan dan tahap interaksi yang anda ada dengan khalayak anda (penggodam mungkin melihat komunikasi dan menyerap maklumat dari situ) masalah apabila ia berkaitan dengan isu liabiliti siber.

Terlepas dari pemikiran anda mengenai potensi potensi anda, anda akan menjadi lebih baik jika anda melindungi diri anda dan menggunakan pengetahuan yang anda temui. Keadaan ini akan terus berubah, jadi tetap waspada untuk memastikan anda berada di atas sebarang risiko, berkaitan dengan undang-undang atau cybersecurity. Dengan idea dan dedikasi yang betul, anda tidak perlu bimbang tentang masalah ini.

Mengenai Penulis: Cassie Phillips

Cassie adalah seorang blogger teknologi dan cybersecurity yang menulis secara teratur untuk Selamat Pikiran. Anda biasanya boleh mencari dia meneliti tren baru dan cuba membina penontonnya. Dia berharap maklumat ini akan membantu anda menjauhkan diri daripada ancaman dalam talian semasa anda membina perniagaan anda.

Mengenai tetamu WHSR

Artikel ini ditulis oleh penyumbang tetamu. Tontonan pengarang di bawah ini adalah miliknya sendiri dan mungkin tidak mencerminkan pandangan WHSR.