Можете ли вы быть ответственным, если ваш сайт взломан?

Статья написана:
  • Интернет бизнес
  • Обновлено: июль 03, 2017

Преступления против предприятий, услуг и розничных торговцев обычно не связаны с физическими предприятиями, как это было раньше. Вместо этого мы обнаруживаем рост киберпреступности от «фрилансеров» и синдикатов взлома. Они хотят, чтобы конфиденциальная информация пользователя продавалась ворову идентичности (или использовалась сами).

Тем не менее, как насчет юридических последствий для предприятий, которые становятся жертвами этих атак? Они несут ответственность за защиту информации? И в чем степень ответственности?

Короткий ответ, это зависит. В большинстве современных обществ существует очень мало проблем с вырезом и высыханием, когда речь идет об ответственности. Существуют обоснованные соображения, разумность и вопросы масштаба. Учитывая, что веб-сайты могут обрабатывать миллионы пользователей и много денег на регулярной основе и, следовательно, миллионы частей потенциально частной информации, четкий ответ невозможно.

В качестве примечания большая часть того, что произошло, в основном относится к крупным корпорациям, но если вы управляете малым бизнесом (на основе Интернета или иным образом), большинство из тех же законов будут применяться, если ваш сайт попадет с нарушением.

Давайте рассмотрим несколько предыдущих случаев и нарушений, чтобы лучше определить ваш риск:

Нарушения данных: масштаб и типы

Реальность нарушения данных (статистика 2016, источник: Индекс уровня нарушения).

Подумайте, гипотетически, что ваш бизнес стал жертвой нарушения данных. Прежде чем приступать к урону, вам необходимо определить масштаб атаки. Как это сделать?

Сначала рассмотрим данные, которые были украдены:

  • Ваш бизнес не столкнется со многими юридическими проблемами по поводу похищенного адреса электронной почты. Жертва, возможно, даже не заметила. Адреса электронной почты являются дешевыми и распространенными, и небольшая брешь или взлом в списках подписчиков часто является причиной такого рода нарушений.
  • Информация об учетной записи - другое дело. Если аккаунты украдены с вашего сайта, возможно мошенничество, и, следовательно, возможны убытки.
  • Если происходит нарушение данных, и финансовая и идентификационная информация ваших клиентов украдена, особенно в массовом порядке, это будет проблемой, если вас можно будет считать небрежным. Будет происходить кража личности, и могут возникнуть другие потенциальные проблемы (подумайте, что может сделать преступник с чьим-то адресом).

Масштаб также может иметь большое значение. Многие поселения и штрафы взимаются с каждого пострадавшего (как и характер судебного процесса, связанного с классом). Возможно, ваш бизнес может потерять записи 10, так как очень маловероятно, что нарушение этого размера приведет к суду. Однако он не может справиться с потерей финансовых отчетов 100,000. Например, гостиницы недавно выплатил расчет в размере $ 18.5 миллионов для различных правительств штатов за нарушение данных 2013 с участием миллионов записей кредитных карт.

Какие прецеденты были установлены?

По сути, закон имеет столько же прецедента, сколько и того, что написано в книгах, поэтому давайте посмотрим, что мы знаем из предыдущих нарушений и случаев:

1- Компании могут быть привлечены к ответственности (или скоро)

Компании и веб-сайты несут ответственность перед своими клиентами и клиентами. Это особенно актуально в некоторых областях, таких как здравоохранение и право, когда неправильное обращение с документами и конфиденциальность имели последствия задолго до возраста Интернета. Эти правила все еще применяются, и если ваш сайт работает в чувствительных полях, вы должны знать, что вы можете и чего не можете сделать. Закон ясен.

Тем не менее, для всех остальных воды по-прежнему остаются мутными в отношении ответственности, если только на данный момент. В Великобритании растут поселения и штрафы. Новое законодательство в ЕС после его вступления в силу, сойдет с трудом на предприятиях, потенциально взимая миллиарды долларов штрафов за фирмы, которые недостаточно защищают свою информацию и оказываются на неправильном конце нарушения данных.

Что мы можем ожидать от Соединенных Штатов по этому вопросу? Это мало что касается явного законодательства. Судебные иски подаются почти автоматически, когда происходит крупномасштабное нарушение данных, но это следует ожидать, когда адвокаты видят знаки доллара и возможность получить некоторую рекламу. Вместо этого он разрабатывается на индивидуальной основе, что приводит нас к рассмотрению других примеров.

2- Урон должен быть чистым

Нарушения данных происходят часто, и часто они, по-видимому, очень мало.

Многие судебные иски от потребителей, вероятно, не будут слишком успешными, поскольку потенциальная травма в результате кражи личных данных не будет задерживаться в качестве весомого аргумента. Там должны быть доказательства фактической или непосредственной травмы, которую трудно обеспечить сразу же после нарушения данных. Это может измениться, но, похоже, это так.

Большинство хакеров и киберпреступников знают лучше, чем опробовать недавно полученные данные, и многие другие просто ищут, чтобы кто-то купил данные для кодов кражи идентификационных данных (один хакер вряд ли использует миллионы номеров кредитных карт). Даже тогда большая часть кражи личных данных не могла бы быть украдена одновременно, что означает, что иск о групповом действии сложнее организовать.

У Венди, например, было выдвинуто против них классовое действие, но дело в конечном итоге было отклонено, Суд заявил, что ущерб был недостаточным, и, поскольку этот ущерб был возмещен, дело не вставало перед законом. Более интересно, что суды обнаружили простые мошеннические сборы на кредитной карте, которых было недостаточно, чтобы гарантировать ущерб.

3 - халатность и правильный протокол

В качестве примера судебного процесса, в котором участвовали действия класса, Клиенты Neiman Marcus выиграли $ 1.6 миллион долларов против компании после того, как было подтверждено, розничный торговец не смог обеспечить надлежащую защиту. Хотя это крупная компания, а не просто веб-сайт, если вы работаете в бизнесе, это четкое сообщение о том, что пренебрежение нельзя допускать.

Правительство уже ушло за такими компаниями, как Wyndham TerraCom за неспособность должным образом защитить информацию. Некоторые примеры правонарушений включают:

  • Хранение информации о карте без защиты или шифрования.
  • Несоблюдение брандмауэров или других мер безопасности в физических местах.
  • Использование легко угаданных паролей.
  • Невозможность ограничить внешние соединения.
  • Хранение информации о явно незащищенных серверах.

Кроме того, правительство потребовало от компаний внедрить более эффективные меры безопасности, добавив дополнительные расходы сверх штрафов.

4- Некоторые записи больше

Как упоминалось ранее в отношении медицинских записей, HIPAA (или эквивалент) будут соблюдены если они будут нарушены.

В последнее время наблюдается ряд громких нарушений данных о состоянии здоровья как в государствах, так и за рубежом, и было бы глупо думать, что не будет усиливаться давление на мандат более строгого принуждения и более жесткие санкции в эпоху цифровых технологий. Если ваш веб-сайт связан с медико-санитарной помощью, вам следует подумать о профессиональной поддержке кибербезопасности.

Записи, связанные с прямым управлением финансами или другой конфиденциальной информацией, также будут проводиться на высоком уровне. Morgan Stanley не удалось защитить информацию о клиенте и потерял за это $ 1 миллионов.

Кроме того, следует отметить, что условия контракта или другие юридически обязательные обстоятельства будут иметь собственный вес в суде. Если ваша компания соглашается сохранить какую-либо информацию в безопасности, вы несете ответственность за ее безопасность, независимо от других прецедентов.

5- он может быть разным по регионам

В Соединенных Штатах законы отличаются от государства к государству в отношении использования технологий и ответственности использования веб-сайта и конфиденциальности. Каждое государство имеет законы о книгах по кибер-преступности, хотя существуют различия в санкциях и стандартах.

Это может быть намного сложнее, если вы имеете дело с международным инцидентом. Жильцы международного права не совсем понятны. Это особенно касается законов, касающихся корпоративной ответственности, и тем более, когда речь идет о относительно новых законах, касающихся технологии.

Как уже отмечалось, правовые системы действуют как юридический прецедент, так и законодательством, и прецедентов в этой области не существует. Вы также не хотите быть тестовым примером, так как люди придут, чтобы связать ваш сайт с нарушением данных, независимо от того, была ли вы ответственна или нет. Почти невозможно оправиться от такого ущерба вашему изображению.

Случаи нарушения в 2016 по регионам.

Снижение риска вашей ответственности

Однако риск вашей ответственности может быть смягчен, даже если вы оказались в неправильном конце нарушения. Если вы несете ответственность и не знаете, что произошло, и нет разумного способа предотвратить это нарушение, вы, вероятно, будете вправе и можете сосредоточиться на восстановлении бренда и аудитории вашего веб-сайта. Как всегда, due diligence выплачивает дивиденды.

Таким образом, вы должны сделать следующее, как только сможете:

  • В максимально возможной степени, вы можете разместить защиту на своем сайте, которая будет защищать ваших посетителей. Включите HTTPS на своем веб-сайте, убедитесь, что ваши комментарии автоматически модерируются (или отключают их, в зависимости от вашего сайта), обновите свои плагины и удалите устаревшие.
  • Защищайте устройства аналогичным образом и принимайте меры предосторожности против человеческой ошибки. Лицо, не соблюдающее надлежащую процедуру или законы, с большей вероятностью сделает вас ответственными, чем супервизор, который не имеет защиты.
  • Прочитайте законы своего государства по этому вопросу. Если ваша организация может себе это позволить, изучите возможность получения юридического консультанта для определения риска ответственности в случае утечки информации. Имейте в виду, что это постоянно меняющаяся область, и прецеденты и законы нескольких лет назад больше не могут применяться.
  • Постарайтесь в будущем обеспечить безопасность своего сайта в максимально возможной степени. Хотя нет никакого способа сделать это отлично, попробуйте представить потенциальные стратегии, которые мог бы использовать опытный хакер.
  • Если вы обнаружили, что ваш сайт нарушен, ответьте быстро и решительно. Удостоверьтесь, что вы не пытаетесь скрыть утечку или иным образом скрыть степень повреждения. Это только сделает вас гораздо хуже в любом потенциальном расследовании и заставит его выглядеть так, как будто вы виноваты (пользователи вашего сайта имеют право защищать и защищать себя). Не подразумевайте себя и не принимайте полную вину (даже в сообщении в блоге), но скорее подтверждайте ситуацию и говорите пользователю, что вы делаете, чтобы уменьшить ущерб и предотвратить его повторение.

Вероятно, другие меры, которые вы можете предпринять, чтобы защитить себя, но они слишком ситуативны, чтобы иметь возможность предложить какое-либо реальное понимание этого вопроса об ответственности. Такие вещи, как сценарии, которые вы используете на своем веб-сайте, делают вас уязвимыми (будьте осторожны, какие методы вы используете для сбора данных), точные данные, которые вы собираете, и уровень взаимодействия с вашей аудиторией (хакеры могут просматривать сообщения и экстраполировать информацию оттуда) имеет значение, когда дело касается вопроса о кибербезопасности.

Независимо от ваших мыслей о вашей потенциальной ответственности, вам будет лучше, если вы будете защищать себя и использовать любые знания, с которыми сталкиваетесь. Эта ситуация будет по-прежнему меняться, поэтому будьте бдительны, чтобы убедиться, что вы находитесь на вершине любых рисков, связанных с юридической или кибербезопасностью. При правильных идеях и самоотверженности вам не придется беспокоиться об этой проблеме.

Об авторе: Кэсси Филлипс

Кэсси - блоггер по технологиям и кибербезопасности, который регулярно пишет Безопасные мысли, Обычно вы можете найти ее исследование новых тенденций и попытку построить свою аудиторию. Она надеется, что эта информация поможет вам избегать онлайн-угроз по мере развития вашего бизнеса.

О ГСВР Гость

Эта статья написана гостем-автором. Представленные ниже авторские взгляды являются полностью его или ее собственными и могут не отражать взгляды ВСЖД.

Подключение: