Czy możesz zostać pociągnięty do odpowiedzialności Jeśli Twoja strona internetowa zostanie zhackowana?

Artykuł napisany przez:
  • Online Business
  • Zaktualizowano: Jul 03, 2017

Przestępstwa przeciwko firmom, usługom i sprzedawcom detalicznym zazwyczaj nie dotyczą tak dobrze firm fizycznych, jak kiedyś. Zamiast tego zauważamy wzrost cyberprzestępczości zarówno ze strony "freelancerów", jak i hakujących syndykatów. Chcą, aby poufne informacje o użytkowniku były sprzedawane złodziejom tożsamości (lub używać ich samych).

A co z konsekwencjami prawnymi dla firm, które padły ofiarą tych ataków? Czy oni mają obowiązek chronić informacje? I jaki jest zakres tej odpowiedzialności?

Krótka odpowiedź, to zależy. W większości nowoczesnych społeczeństw, istnieje bardzo niewiele przypadków wycinania i suszenia, jeśli chodzi o odpowiedzialność. Należy rozważyć stopnie racjonalności, winę i kwestie skali. Biorąc pod uwagę, że strony internetowe mogą obsługiwać miliony użytkowników i dużo pieniędzy regularnie, a więc i miliony fragmentów potencjalnie prywatnych informacji, jasna odpowiedź jest niemożliwa.

Warto zauważyć, że znaczna część tego, co się wydarzyło, dotyczy głównie dużych korporacji, ale jeśli prowadzisz mały biznes (oparty na sieci lub w inny sposób), większość tych samych praw będzie obowiązywać, jeśli Twoja witryna zostanie trafiona z naruszeniem.

Przyjrzyjmy się kilku wcześniejszym przypadkom i naruszeniom, aby lepiej określić ryzyko:

Naruszenie danych: skala i typy

Rzeczywistość naruszenia danych (statystyki 2016, źródło: Wskaźnik poziomu naruszenia).

Rozważ hipotetycznie, że Twoja firma padła ofiarą naruszenia bezpieczeństwa danych. Zanim podejmiesz obrażenia, musisz określić skalę ataku. Jak to zrobić?

Najpierw rozważmy skradzione dane:

  • Twoja firma nie będzie miała problemów prawnych w związku z kradzieżą adresu e-mail. Ofiara może nawet tego nie zauważyć. Adresy e-mail są tanie i powszechne, a małe naruszenie lub włamanie na listy subskrybentów jest często przyczyną tego rodzaju naruszenia.
  • Informacje o koncie to inna sprawa. Jeśli konta zostaną skradzione ze strony internetowej, oszustwo jest możliwe, a zatem możliwe są szkody.
  • Jeśli dojdzie do naruszenia danych i kradzieży danych finansowych i identyfikacyjnych Twoich klientów, zwłaszcza masowo, będzie to problemem, jeśli możesz zostać uznany za zaniedbanie. Pojawi się kradzież tożsamości i pojawią się inne potencjalne problemy (zastanów się, co przestępca może zrobić z czyimś adresem).

Skala może mieć również duże znaczenie. Wiele osiedli i grzywien nakłada się na każdą dotkniętą osobę (podobnie jak charakter pozwu zbiorowego). Twoja firma może prawdopodobnie pozwolić sobie na utratę rekordów 10, ponieważ jest bardzo mało prawdopodobne, aby naruszenie tej wielkości doprowadziło do sądu. Nie może jednak obsługiwać utraty rekordów finansowych 100,000. Na przykład Cel Niedawno wypłacono kwotę 18.5 mln USD dla różnych rządów stanowych za naruszenie danych 2013 obejmujące miliony zapisów kart kredytowych.

Jakie prefiksy zostały ustalone?

Zasadniczo prawo dotyczy zarówno precedensu, jak i tego, co jest napisane w książkach, więc spójrzmy na to, co wiemy z poprzednich naruszeń i przypadków:

1 - firmy mogą zostać pociągnięte do odpowiedzialności (lub wkrótce)

Firmy i strony internetowe ponoszą odpowiedzialność za swoich klientów i klientów. Dotyczy to w szczególności niektórych dziedzin, takich jak opieka zdrowotna i prawo, w których niewłaściwe zarządzanie dokumentacją i poufność miały konsekwencje znacznie przed osiągnięciem wieku Internetu. Te zasady nadal obowiązują, a jeśli Twoja witryna działa w newralgicznych dziedzinach, powinieneś wiedzieć, co możesz i czego nie możesz zrobić. Prawo jest jasne.

Jednak dla wszystkich innych wody są nadal mętne co do zakresu odpowiedzialności, choćby tylko na razie. W Wielkiej Brytanii liczba rozliczeń i mandatów rośnie. Nowe prawodawstwo w UE, kiedy wejdzie w życie, zejdzie ciężko na przedsiębiorstwa, potencjalnie nakładające miliardy dolarów na grzywny w przypadku firm, które nie chronią w wystarczającym stopniu swoich informacji i znajdują się w złym celu naruszenia bezpieczeństwa danych.

Czego możemy oczekiwać od Stanów Zjednoczonych w tej sprawie? Jest to mało wyraźne prawodawstwo w tej sprawie. Sprawy sądowe są składane prawie automatycznie, gdy dochodzi do naruszenia danych na dużą skalę, ale należy się tego spodziewać, gdy prawnicy widzą znaki dolara i szansę na zdobycie rozgłosu. Zamiast tego jest opracowywany dla każdego przypadku, co pozwala nam spojrzeć na inne przykłady.

2- Uszkodzenia muszą być jasne

Naruszenie danych zdarza się często i często wydaje się, że oznacza bardzo mało.

Wiele spraw sądowych od konsumentów prawdopodobnie nie zakończyłoby się sukcesem, ponieważ potencjalne szkody wynikające z kradzieży tożsamości nie będą stanowić mocnej argumentacji. Konieczne byłyby dowody na faktyczne lub bezpośrednie obrażenia, które trudno jest podać natychmiast po naruszeniu danych. To może się zmienić, ale wydaje się, że tak jest do tej pory.

Większość hakerów i cyberprzestępców wie lepiej niż wypróbowywać nowo pozyskane dane, a wielu innych po prostu szuka kogoś, kto kupi dane za kradzieże tożsamości (jeden haker prawdopodobnie nie użyje milionów numerów kart kredytowych). Nawet wtedy większość kradzieży tożsamości nie zostanie skradziona jednocześnie, co oznacza, że ​​pozew grupowy jest trudniejszy do zorganizowania.

Na przykład Wendy postawiła przeciwko niemu pozew zbiorowy, ale sprawa została ostatecznie odrzucona. Sąd stwierdził, że szkody nie były wystarczające, a ponieważ te odszkodowania zostały zwrócone, sprawa nie stanęła przed prawem. Co ciekawsze, sądy uznały proste oszukańcze obciążenia karty kredytowej za niewystarczające, by uzasadnić szkody.

3 - zaniedbanie i odpowiedni protokół

Jako przykład pozwu grupowego, które się udało, Klienci Neiman Marcus zdobyli $ 1.6 za milion dolarów w stosunku do firmy po jej potwierdzeniu sprzedawca nie zapewnił właściwej ochrony. Chociaż jest to duża firma, a nie tylko strona internetowa, jeśli prowadzisz firmę, jest to wyraźny sygnał, że zaniedbanie może nie być tolerowane.

Rząd już odszedł po firmach takich jak Wyndham i TerraCom za niepoprawną ochronę informacji. Niektóre przykłady przestępstw obejmują:

  • Przechowywanie informacji o karcie bez ochrony i szyfrowania.
  • Nie można używać zapór ogniowych lub innych zabezpieczeń w fizycznych lokalizacjach.
  • Używanie łatwych do odgadnięcia haseł.
  • Nie można ograniczyć połączeń zewnętrznych.
  • Przechowywanie informacji na wyraźnie niezabezpieczonych serwerach.

Dodatkowo, rząd wymagał od firm wdrożenia lepszych środków bezpieczeństwa, dodając dodatkowe koszty oprócz kar.

4- Niektóre rekordy mają większe znaczenie

Jak wspomniano wcześniej w odniesieniu do dokumentacji medycznej, HIPAA (lub odpowiednik) będą egzekwowane jeśli okaże się, że został naruszony.

Niedawno doszło do serii głośnych naruszeń danych dotyczących zdrowia, zarówno w Stanach Zjednoczonych, jak i za granicą, i byłoby głupotą sądzić, że nie będzie rosnącej presji, by nakazać ściślejsze egzekwowanie prawa i stworzyć surowsze kary w erze cyfrowej. Jeśli twoja strona jest powiązana z opieką zdrowotną, powinieneś rozważyć profesjonalną pomoc w zakresie bezpieczeństwa cybernetycznego.

Zapisy dotyczące bezpośredniego zarządzania finansami lub innych poufnych informacji będą również odbywać się w wysokim standardzie. Morgan Stanley nie zdołał chronić informacji o kliencie i stracił za to $ 1 mln.

Dodatkowo należy zauważyć, że postanowienia umowne lub inne prawnie wiążące okoliczności będą miały znaczenie w sądzie. Jeśli Twoja firma zgadza się zachować bezpieczeństwo niektórych informacji, jesteś prawnie odpowiedzialny za ich bezpieczeństwo, niezależnie od innych precedensów.

5 - może różnić się w zależności od regionu

W Stanach Zjednoczonych przepisy różnią się w zależności od stanu w zakresie korzystania z technologii i odpowiedzialności za korzystanie z witryny i prywatności. Każde państwo ma przepisy dotyczące książek dotyczące cyberprzestępczości, chociaż istnieją różnice w karach i standardach.

Może to być o wiele bardziej skomplikowane, jeśli masz do czynienia z incydentem międzynarodowym. Lokatorzy prawa międzynarodowego nie są łatwi do zrozumienia. Dotyczy to w szczególności przepisów dotyczących odpowiedzialności korporacyjnej, a tym bardziej, gdy w grę wchodzą stosunkowo nowe przepisy dotyczące technologii.

Jak stwierdzono, systemy prawne funkcjonują w równym stopniu dzięki prawnemu precedensowi, jak i ustawodawstwu, a w tej dziedzinie nie było wielu precedensów. Nie chcesz też być przypadkiem testowym, ponieważ ludzie dołączą do witryny z naruszeniem bezpieczeństwa danych, niezależnie od tego, czy ponosisz odpowiedzialność, czy nie. Jest prawie niemożliwe, aby wyleczyć się z tego rodzaju uszkodzenia obrazu.

Naruszenia incydentów w 2016 według regionu.

Obniżenie ryzyka odpowiedzialności

Ryzyko związane z odpowiedzialnością można jednak złagodzić, nawet jeśli znajdzie się na niewłaściwym końcu naruszenia. Jeśli jesteś odpowiedzialny i otwarty na temat tego, co się stało, i nie ma rozsądnego sposobu, aby zapobiec temu naruszeniu, prawdopodobnie będziesz mieć prawo i będziesz mógł skoncentrować się na odbudowie marki i odbiorców swojej witryny. Jak zawsze, należyta staranność wypłaca dywidendy.

Podsumowując, powinieneś wykonać następujące czynności najszybciej jak to możliwe:

  • W najszerszym zakresie umieść zabezpieczenia na swojej stronie, które będą chronić twoich gości. Włącz obsługę HTTPS w swojej witrynie, upewnij się, że komentarze są automatycznie moderowane (lub wyłączaj je w zależności od witryny), aktualizuj wtyczki i usuwaj wszelkie nieaktualne.
  • Chroń swoje urządzenia w podobny sposób i podejmuj środki ostrożności przeciwko ludzkim błędom. Osoba, która nie postępuje zgodnie z właściwą procedurą lub przepisami, jest znacznie bardziej podatna na odpowiedzialność niż osoba, która nie ma żadnej obrony.
  • Zapoznaj się z przepisami prawa obowiązującymi w Twoim stanie. Jeśli twoja organizacja może sobie na to pozwolić, zajrzyj do porad prawnych, aby określić ryzyko odpowiedzialności w przypadku wycieku informacji. Należy pamiętać, że jest to ciągle zmieniająca się dziedzina, a precedensy i prawa sprzed kilku lat mogą już nie mieć zastosowania.
  • Postaraj się jak najlepiej udowodnić bezpieczeństwo swojej strony internetowej. Chociaż nie ma sposobu, aby to zrobić doskonale, spróbuj wyobrazić sobie potencjalne strategie, które może wykorzystać wykwalifikowany haker.
  • Jeśli znajdziesz swoją witrynę naruszoną, odpowiedz szybko i zdecydowanie. Upewnij się, że nie próbujesz zatuszować wycieku lub w inny sposób ukryć stopień uszkodzenia. To tylko sprawi, że będziesz wyglądać znacznie gorzej w każdym potencjalnym dochodzeniu i sprawi, że będzie wyglądać, jakbyś był winien (użytkownicy Twojej strony mają prawo do ochrony i obrony). Nie sugeruj się i akceptuj pełną winę (nawet w poście na blogu), ale raczej potwierdź sytuację i powiedz użytkownikowi, co robisz, aby złagodzić szkody i zapobiec ich ponownemu pojawieniu się.

Jest prawdopodobne inne środki, które możesz podjąć, aby się zabezpieczyć, ale są zbyt sytuacyjne, aby móc zaoferować prawdziwy wgląd w to pytanie dotyczące odpowiedzialności. Takie rzeczy, jak skrypty, których używasz w swojej witrynie, są podatne na zagrożenia (zachowaj ostrożność w wyborze metod gromadzenia danych), dokładnych danych, które zbierasz i poziomu interakcji z odbiorcami (hakerzy mogą przeglądać komunikację i ekstrapolować informacje stamtąd) ma znaczenie, jeśli chodzi o kwestię odpowiedzialności za bezpieczeństwo cybernetyczne.

Bez względu na swoje przemyślenia na temat potencjalnej odpowiedzialności, lepiej będzie, jeśli będziesz się chronić i korzystać z wiedzy, którą spotkasz. Sytuacja ta będzie się nadal zmieniać, więc zachowaj czujność, aby upewnić się, że jesteś na szczycie ryzyka związanego z bezpieczeństwem, prawem lub cyberbezpieczeństwem. Przy właściwych pomysłach i poświęceniu nie powinieneś martwić się o ten problem.

O autorze: Cassie Phillips

Cassie jest blogerem technologii i cyberbezpieczeństwa, dla którego regularnie pisze Bezpieczne myśli. Zwykle możesz znaleźć jej badanie nowych trendów i próbować zbudować swoją publiczność. Ma nadzieję, że te informacje pomogą Ci trzymać się z dala od zagrożeń internetowych podczas budowania biznesu.

Artykuł WHSR Gość

Ten artykuł został napisany przez współpracownika gościa. Poniższe poglądy autora są w całości jego i mogą nie odzwierciedlać poglądów WHSR.