คุณสามารถรับผิดชอบหากเว็บไซต์ของคุณได้รับการ Hacked?

บทความที่เขียนโดย:
  • ธุรกิจออนไลน์
  • อัปเดต: ก.ค. 03, 2017

อาชญากรรมต่อธุรกิจบริการและผู้ค้าปลีกมักไม่ค่อยเกี่ยวข้องกับธุรกิจทางกายภาพเท่าที่เคยเป็นมา แต่สิ่งที่เราพบคือการเพิ่มขึ้นของอาชญากรรมในโลกไซเบอร์จากทั้ง "freelancers" และแฮ็กโซไซตี้ พวกเขาต้องการข้อมูลผู้ใช้ที่ละเอียดอ่อนเพื่อขายให้กับโจรกรรม (หรือใช้ตัวเอง)

แต่สิ่งที่เกี่ยวกับผลทางกฎหมายต่อธุรกิจที่ตกเป็นเหยื่อการโจมตีเหล่านี้? พวกเขามีหน้าที่ในการปกป้องข้อมูลหรือไม่? และขอบเขตของความรับผิดชอบคืออะไร?

คำตอบสั้น ๆ ก็ขึ้นอยู่ ในสังคมยุคใหม่ส่วนใหญ่จะมีสถานการณ์ตัดและแห้งน้อยมากเมื่อกล่าวถึงความรับผิด มีองศาของความสมเหตุสมผลความถูกต้องและเรื่องของขนาดที่จะต้องพิจารณา ระบุว่าเว็บไซต์สามารถจัดการกับผู้ใช้นับล้าน ๆ รายและ เงินเป็นจำนวนมาก เป็นประจำและด้วยเหตุนี้นับล้านชิ้นข้อมูลส่วนตัวที่เป็นไปได้คำตอบที่ชัดเจนจึงเป็นไปไม่ได้

เนื่องจากบันทึกย่อส่วนใหญ่เกิดขึ้นกับ บริษัท ขนาดใหญ่ แต่ถ้าคุณทำธุรกิจขนาดเล็ก (บนเว็บหรืออื่น ๆ ) กฎหมายส่วนใหญ่จะใช้บังคับหากเว็บไซต์ของคุณได้รับผลกระทบจากการละเมิด

ลองดูกรณีก่อนหน้านี้และการละเมิดเพื่อพิจารณาความเสี่ยงของคุณได้ดีขึ้น:

การละเมิดข้อมูล: มาตราส่วนและชนิด

ความเป็นจริงของการละเมิดข้อมูล (2016 สถิติแหล่งที่มา: ดัชนีระดับการละเมิด).

พิจารณาสมมุติฐานว่าธุรกิจของคุณตกเป็นเหยื่อของการละเมิดข้อมูล ก่อนที่คุณจะเข้ารับความเสียหายคุณต้องกำหนดขนาดของการโจมตี หนึ่งจะทำเช่นนี้ได้อย่างไร

ขั้นแรกให้พิจารณาข้อมูลที่ถูกขโมย:

  • ธุรกิจของคุณจะไม่ประสบกับปัญหาทางกฎหมายมากเกินกว่าที่จะมีการขโมยที่อยู่อีเมล เหยื่ออาจไม่ได้สังเกตเห็น ที่อยู่อีเมลมีราคาถูกและเป็นที่นิยมทั่วไปและการฝ่าฝืนหรือการแฮ็กลงในรายการสมาชิกของคุณมักเป็นสาเหตุของการละเมิดนี้
  • ข้อมูลบัญชีเป็นอีกเรื่องหนึ่ง หากบัญชีถูกขโมยจากเว็บไซต์ของคุณการฉ้อโกงเป็นไปได้และทำให้เกิดความเสียหายได้
  • หากมีการละเมิดข้อมูลเกิดขึ้นและข้อมูลทางการเงินและการระบุตัวตนของลูกค้าของคุณถูกขโมยโดยเฉพาะอย่างยิ่งถ้าเกิดคุณอาจถูกเพิกเฉยได้ การโจรกรรมข้อมูลจะเกิดขึ้นและปัญหาที่อาจเกิดขึ้นอื่น ๆ สามารถเกิดขึ้น (พิจารณาว่าอาชญากรสามารถทำอะไรกับที่อยู่ของใครบางคนได้)

ขนาดยังสามารถสำคัญมาก การตั้งถิ่นฐานและค่าปรับจำนวนมากถูกเรียกเก็บต่อบุคคลที่ได้รับผลกระทบ (เช่นเดียวกับลักษณะของคดีความในชั้นเรียน) ธุรกิจของคุณอาจจะทำให้สูญเสียระเบียน 10 เนื่องจากไม่น่าเป็นไปได้ที่การละเมิดขนาดนี้จะทำให้เกิดขึ้นกับศาล อย่างไรก็ตามไม่สามารถจัดการกับการสูญเสียบันทึกทางการเงินของ 100,000 ได้ ตัวอย่างเช่น Target เพิ่งจ่ายเงินจำนวน $ 18.5 ล้าน ไปยังรัฐบาลของรัฐหลายแห่งสำหรับการละเมิดข้อมูล 2013 ที่เกี่ยวข้องกับระเบียนบัตรเครดิตนับล้านรายการ

สิ่งที่ได้ถูกตั้งไว้ล่วงหน้า?

พื้นฐานกฎหมายมีมากเกี่ยวกับก่อนหน้านี้เช่นเดียวกับสิ่งที่เขียนในหนังสือดังนั้นเรามาดูที่สิ่งที่เรารู้จากการละเมิดและกรณีก่อนหน้านี้:

1- บริษัท สามารถรับผิดชอบ (หรือจะเร็ว ๆ นี้)

บริษัท และเว็บไซต์มีหน้าที่รับผิดชอบต่อลูกค้าและลูกค้าของตน โดยเฉพาะอย่างยิ่งกรณีนี้ในบางสาขาเช่นการดูแลสุขภาพและกฎหมายที่มีการจัดเก็บประวัติและการรักษาความลับอย่างไม่ถูกต้องมีผลก่อนอายุของอินเทอร์เน็ต กฎเหล่านี้ยังคงใช้และหากเว็บไซต์ของคุณทำงานในสาขาที่ละเอียดอ่อนคุณควรรู้ว่าคุณทำได้และไม่สามารถทำได้ กฎหมายมีความชัดเจน

สำหรับคนอื่น ๆ แม้ว่าน้ำยังคงมืดมนเท่าที่ขอบเขตของความรับผิดชอบถ้าเพียง แต่ตอนนี้ ในสหราชอาณาจักรการตั้งถิ่นฐานและค่าปรับกำลังเพิ่มขึ้น กฎหมายใหม่ในสหภาพยุโรปเมื่อมีผลใช้บังคับ จะลงมาอย่างหนัก ในธุรกิจซึ่งอาจเรียกเก็บเงินหลายพันล้านดอลลาร์ในการปรับค่าปรับสำหรับ บริษัท ที่ไม่สามารถปกป้องข้อมูลของตนได้อย่างเพียงพอและพบว่าตัวเองกำลังถูกละเมิดข้อมูลผิดพลาด

สิ่งที่เราคาดหวังจากสหรัฐฯเกี่ยวกับเรื่องนี้? นี่เป็นข้อบัญญัติที่ไม่ชัดเจนเกี่ยวกับเรื่องนี้ คดีถูกฟ้องเกือบโดยอัตโนมัติเมื่อมีการละเมิดข้อมูลขนาดใหญ่ แต่จะเป็นที่คาดว่าเมื่อนักกฎหมายเห็นสัญญาณดอลลาร์และโอกาสที่จะได้รับการประชาสัมพันธ์ แต่ก็ทำงานได้โดยพิจารณาจากแต่ละกรณีนำเราไปดูตัวอย่างอื่น ๆ

2- ความเสียหายต้องชัดเจน

การละเมิดข้อมูลมักเกิดขึ้นบ่อยครั้งและมักมีความหมายน้อยมาก

คดีจำนวนมากจากผู้บริโภคอาจไม่ประสบความสำเร็จมากนักเนื่องจากการได้รับบาดเจ็บจากการโจรกรรมข้อมูลจะไม่ถือเป็นเหตุผลสำคัญ จะต้องมีหลักฐานการบาดเจ็บที่เกิดขึ้นจริงหรือใกล้ซึ่งเป็นเรื่องยากที่จะให้ทันทีหลังจากที่มีการละเมิดข้อมูล นี้อาจมีการเปลี่ยนแปลง แต่ดูเหมือนว่าจะเป็นกรณีเพื่อให้ห่างไกล

แฮ็กเกอร์และอาชญาไซเบอร์ส่วนใหญ่รู้ดีไปกว่าการทดลองใช้ข้อมูลที่ได้มาใหม่และอื่น ๆ อีกมากมายกำลังมองหาใครสักคนที่จะซื้อข้อมูลสำหรับการขโมยข้อมูลส่วนบุคคล (แฮ็กเกอร์รายหนึ่งไม่น่าจะใช้หมายเลขบัตรเครดิตนับล้าน) แม้แล้วส่วนใหญ่ของการขโมยข้อมูลประจำตัวจะไม่ได้รับการถูกขโมยพร้อมกันซึ่งหมายความว่าคดีการเรียนเป็นเรื่องยากที่จะจัดระเบียบ

ตัวอย่างเช่นเวนดี้มีการกระทำในชั้นเรียนขึ้นมาต่อต้านพวกเขา แต่ กรณีถูกไล่ออกในที่สุด. ศาลระบุว่าความเสียหายไม่เพียงพอและเมื่อความเสียหายเหล่านี้ได้รับการชดใช้แล้วคดีไม่ได้ยืนขึ้นต่อหน้ากฎหมาย ที่น่าสนใจมากขึ้นศาลพบว่าการเรียกเก็บเงินที่หลอกลวงในบัตรเครดิตไม่เพียงพอที่จะรับประกันความเสียหาย

3- ประมาทและพิธีสารที่เหมาะสม

เป็นตัวอย่างของการฟ้องร้องในชั้นเรียนที่ไม่ได้ผล, ลูกค้า Neiman Marcus ได้รับชุดสูท $ 1.6 ล้านเหรียญ กับ บริษัท หลังจากได้รับการยืนยันร้านค้าปลีกล้มเหลวในการให้การป้องกันที่เหมาะสม แม้ว่านี่เป็น บริษัท ขนาดใหญ่ไม่ใช่เว็บไซต์ แต่ถ้าคุณดำเนินกิจการนี่เป็นข้อความที่ชัดเจนว่าการละเลยอาจไม่ได้รับการยอมรับ

รัฐบาลได้ดำเนินการไปแล้วหลังจาก บริษัท ต่างๆเช่น Wyndham และ TerraCom เนื่องจากไม่สามารถปกป้องข้อมูลได้อย่างถูกต้อง ตัวอย่างบางส่วนของความผิดรวมถึง:

  • การจัดเก็บข้อมูลบัตรโดยไม่มีการป้องกันหรือการเข้ารหัส
  • ไม่ใช้ไฟร์วอลล์หรือมาตรการรักษาความปลอดภัยอื่น ๆ ในสถานที่จริง
  • ใช้รหัสผ่านที่คาดเดาได้ง่าย
  • ไม่สามารถ จำกัด การเชื่อมต่อภายนอก
  • การจัดเก็บข้อมูลบนเซิร์ฟเวอร์ที่ไม่มีการป้องกันอย่างชัดเจน

นอกจากนี้รัฐบาลได้กำหนดให้ บริษัท ต้องใช้มาตรการรักษาความปลอดภัยที่ดีขึ้นโดยจะเพิ่มค่าใช้จ่ายเพิ่มเติมในส่วนของค่าปรับ

4- บางเรื่องสำคัญมากขึ้น

ตามที่ระบุไว้ก่อนหน้านี้เกี่ยวกับบันทึกสุขภาพ, HIPAA (หรือเทียบเท่า) จะถูกบังคับใช้ หากพบว่าถูกละเมิด

เมื่อไม่นานมานี้มีข้อมูลด้านสุขภาพที่มีอยู่อย่างมากมายทั้งในสหรัฐอเมริกาและต่างประเทศและจะเป็นเรื่องที่โง่เขลาที่จะคิดว่าจะไม่มีความกดดันมากขึ้นที่จะบังคับใช้การบังคับใช้ที่เข้มงวดและสร้างบทลงโทษที่รุนแรงขึ้นในยุคดิจิทัล หากเว็บไซต์ของคุณเกี่ยวข้องกับการดูแลสุขภาพคุณควรพิจารณาความช่วยเหลือด้านความปลอดภัยในโลกไซเบอร์แบบมืออาชีพ

ระเบียนที่เกี่ยวข้องกับการจัดการทางการเงินโดยตรงหรือข้อมูลที่เป็นความลับอื่น ๆ จะได้รับการจัดอยู่ในมาตรฐานที่สูง Morgan Stanley ไม่สามารถปกป้องข้อมูลลูกค้าได้ และเสียเงิน $ 1 ล้านเหรียญ

นอกจากนี้ควรสังเกตข้อสัญญาหรือเงื่อนไขอื่น ๆ ตามกฎหมายจะมีน้ำหนักของตัวเองอยู่ในศาล หากธุรกิจของคุณยินยอมให้ข้อมูลบางส่วนปลอดภัยคุณต้องรับผิดชอบตามกฎหมายในการรักษาความปลอดภัยโดยไม่คำนึงถึงเรื่องอื่น ๆ

5- อาจแตกต่างกันไปตามภูมิภาค

ในสหรัฐอเมริกากฎหมายแตกต่างกันไปในแต่ละรัฐเกี่ยวกับการใช้เทคโนโลยีและความรับผิดชอบในการใช้เว็บไซต์และความเป็นส่วนตัว ทุกรัฐมีกฎหมายเกี่ยวกับหนังสือเกี่ยวกับอาชญากรรมไซเบอร์แม้ว่าจะมีความแตกต่างในบทลงโทษและมาตรฐาน

มันอาจจะซับซ้อนมากขึ้นถ้าคุณกำลังจัดการกับเหตุการณ์ระหว่างประเทศ ผู้เช่าของกฎหมายระหว่างประเทศไม่สามารถเข้าใจได้ง่าย โดยเฉพาะกฎหมายที่เกี่ยวกับความรับผิดชอบของ บริษัท และยิ่งเมื่อกฎหมายใหม่เกี่ยวกับเทคโนโลยีมีส่วนเกี่ยวข้อง

ตามที่ระบุไว้ระบบกฎหมายมีการดำเนินการตามกฎหมายตามกฎหมายอย่างมากและยังไม่มีกฎหมายที่กำหนดไว้ในกฎหมายนี้ คุณไม่ต้องการเป็นตัวอย่างทดสอบเนื่องจากผู้คนจะเชื่อมโยงไซต์ของคุณกับการละเมิดข้อมูลไม่ว่าคุณจะรับผิดหรือไม่ เกือบจะเป็นไปไม่ได้ที่จะฟื้นตัวจากความเสียหายประเภทนั้นในภาพของคุณ

เหตุการณ์การละเมิดใน 2016 ตามภูมิภาค

การลดความเสี่ยงในการรับผิด

แม้คุณจะพบว่าตัวเองผิดพลาดก็ตามก็ตาม หากคุณมีความรับผิดชอบและเปิดกว้างเกี่ยวกับสิ่งที่เกิดขึ้นและไม่มีวิธีใดที่เป็นไปได้ที่คุณจะสามารถป้องกันไม่ให้เกิดการฝ่าฝืนได้คุณอาจจะมีสิทธิ์และสามารถมุ่งเน้นที่การสร้างแบรนด์และผู้ชมเว็บไซต์ของคุณใหม่ เช่นเคยความขยันเนื่องจากจ่ายเงินปันผล

โดยสรุปแล้วคุณควรดำเนินการต่อไปโดยเร็วที่สุดเท่าที่จะทำได้

  • ในขอบเขตสูงสุดที่คุณสามารถทำได้ให้วางการป้องกันบนเว็บไซต์ของคุณเพื่อปกป้องผู้เข้าชมของคุณ เปิดใช้งาน HTTPS บนเว็บไซต์ของคุณตรวจสอบว่าความคิดเห็นของคุณได้รับการตรวจสอบโดยอัตโนมัติ (หรือปิดใช้งานโดยอัตโนมัติทั้งนี้ขึ้นอยู่กับเว็บไซต์ของคุณ) อัปเดตปลั๊กอินของคุณให้ทันสมัยและลบข้อมูลที่ล้าสมัยออกไป
  • ปกป้องอุปกรณ์ของคุณในทำนองเดียวกันและใช้ความระมัดระวังต่อข้อผิดพลาดของมนุษย์ บุคคลที่ไม่ปฏิบัติตามขั้นตอนหรือกฎหมายที่เหมาะสมจะทำให้คุณต้องรับผิดเกินกว่า supervirus ที่ไม่มีการป้องกัน
  • อ่านเกี่ยวกับกฎหมายของรัฐเกี่ยวกับเรื่องนี้ หากองค์กรของคุณสามารถจ่ายได้ให้ดูที่การขอคำปรึกษาทางกฎหมายเพื่อพิจารณาความเสี่ยงที่อาจเกิดขึ้นหากมีข้อมูลรั่วไหล โปรดทราบว่านี่เป็นฟิลด์ที่มีการเปลี่ยนแปลงตลอดเวลาและกฎเกณฑ์และกฎหมายของสองสามปีที่ผ่านมาอาจไม่ได้ใช้อีกต่อไป
  • พยายามพิสูจน์ความปลอดภัยของเว็บไซต์ในอนาคตให้มากที่สุดเท่าที่จะเป็นไปได้ แม้ว่าจะไม่มีทางใดที่จะทำอย่างนี้ได้อย่างสมบูรณ์ลองนึกภาพกลยุทธ์ที่อาจเกิดขึ้นจากแฮกเกอร์ที่มีทักษะสามารถใช้งานได้
  • หากคุณพบเว็บไซต์ของคุณถูกละเมิดให้ตอบสนองได้อย่างรวดเร็วและเด็ดขาด ตรวจสอบให้แน่ใจว่าคุณไม่ได้พยายามปกปิดรอยรั่วหรือปกปิดความเสียหายที่อาจเกิดขึ้น มันจะทำให้คุณดูแย่ลงในการตรวจสอบที่มีศักยภาพและจะทำให้คุณดูเหมือนว่าคุณจะถูกตำหนิ (ผู้ใช้เว็บไซต์ของคุณมีสิทธิ์ที่จะปกป้องและปกป้องตัวเอง) อย่ากล่าวหาตัวเองและรับโทษทั้งหมด (แม้จะอยู่ในโพสต์บล็อก) แต่ยอมรับสถานการณ์และบอกให้ผู้ใช้ทราบว่าคุณกำลังทำอะไรเพื่อลดความเสียหายและป้องกันไม่ให้เกิดขึ้นอีก

มีโอกาสมาก มาตรการอื่น ๆ ที่คุณสามารถทำได้เพื่อป้องกันตัวเองแต่พวกเขาอยู่ไกลเกินไปสถานการณ์เพื่อให้สามารถให้ความเข้าใจจริงใด ๆ ในคำถามเกี่ยวกับความรับผิดนี้ สิ่งต่างๆเช่นว่าสคริปต์ที่คุณใช้ในเว็บไซต์ของคุณทำให้คุณเสี่ยงหรือไม่ (ระมัดระวังเกี่ยวกับวิธีการที่คุณใช้เพื่อรวบรวมข้อมูล) ข้อมูลที่คุณรวบรวมและระดับปฏิสัมพันธ์กับผู้ชมของคุณ (แฮกเกอร์อาจดูข้อมูลการติดต่อสื่อสารและคาดการณ์ข้อมูล จากที่นั่น) เมื่อกล่าวถึงปัญหาความรับผิดในโลกไซเบอร์

โดยไม่คำนึงถึงความคิดของคุณเกี่ยวกับความรับผิดที่อาจเกิดขึ้นคุณจะดีกว่าถ้าคุณปกป้องตนเองและใช้ความรู้ที่คุณเจอ สถานการณ์เช่นนี้จะเปลี่ยนแปลงไปเรื่อย ๆ เพื่อเตรียมพร้อมรับมือกับความเสี่ยงที่เกี่ยวข้องกับกฎหมายหรือ cybersecurity ด้วยความคิดและการอุทิศตนที่ถูกต้องคุณไม่ควรกังวลเรื่องปัญหานี้

เกี่ยวกับผู้แต่ง: Cassie Phillips

Cassie เป็นนักเขียนบล็อกที่ใช้เทคโนโลยีและความปลอดภัยในโลกไซเบอร์ซึ่งเขียนเป็นประจำ ความคิดที่ปลอดภัย. คุณมักจะพบว่าเธอกำลังค้นคว้าแนวโน้มใหม่ ๆ และพยายามที่จะสร้างผู้ชมของเธอ เธอหวังว่าข้อมูลนี้จะช่วยให้คุณหลีกเลี่ยงภัยคุกคามออนไลน์ขณะที่คุณสร้างธุรกิจ

บทความโดย WHSR Guest

บทความนี้เขียนขึ้นโดยผู้สนับสนุนแขก มุมมองของผู้เขียนด้านล่างนี้เป็นของตนเองหรืออาจไม่สะท้อนมุมมองของ WHSR