Web Siteniz Hackedilirse Sorumlu Tutulabilir misiniz?

Yazan makale:
  • Online İş
  • Güncelleme: Temmuz 03, 2017

İşletmelere, hizmetlere ve perakendecilere yönelik suç, genellikle, fiziksel işletmeleri alıştığı kadarıyla içermez. Bunun yerine, bulduğumuz şey, hem “serbest” lerden hem de hacking sendikalarından siber suçlarda bir artış. Hassas kullanıcı bilgilerinin kimlik hırsızlarına satılmasını isterler (veya kendilerini kullanırlar).

Ancak, bu saldırılara kurban giden işletmelerin hukuki sonuçları ne olacak? Bilgiyi koruma sorumluluğu var mı? Ve bu sorumluluğun kapsamı nedir?

Kısa cevap, buna bağlı. Çoğu modern toplumda, sorumluluk söz konusu olduğunda çok az kesim ve kuru durum söz konusudur. Göz önünde bulundurulması gereken makul dereceler, suçluluk ve ölçek konuları vardır. Web sitelerinin milyonlarca kullanıcıyla ilgilenebileceği ve çok para düzenli olarak ve bu nedenle milyonlarca kişisel bilgi potansiyeline sahip, net bir cevap imkansızdır.

Bir not olarak, meydana gelenlerin çoğu daha çok büyük şirketlere başvurdu, ancak küçük bir işletmeyi (web tabanlı veya başka bir şekilde) çalıştırırsanız, web sitenizin bir ihlalle çarpması durumunda aynı yasaların çoğu geçerli olacaktır.

Riskinizi daha iyi belirlemek için birkaç önceki duruma ve ihlallere bakalım:

Veri İhlalleri: Ölçek ve Çeşitleri

Veri ihlalinin gerçekliği (2016 istatistikleri, kaynak: İhlali Seviye Dizini).

Varsayımsal olarak, işinizin bir veri ihlaline kurban gittiğini düşünün. Hasarlara katılmadan önce, saldırının ölçeğini belirlemeniz gerekir. Bunu nasıl yapıyor?

İlk olarak, çalınan verileri ele alalım:

  • İşletmeniz çalınan bir e-posta adresi üzerinden çok fazla yasal sorunla karşı karşıya kalmayacak. Kurban fark etmeyebilir bile. E-posta adresleri ucuz ve yaygındır ve abone listelerinize küçük bir ihlal veya bir kesinti genellikle bu tür bir ihlalin sebebidir.
  • Hesap bilgisi başka bir konudur. Hesaplar web sitenizden çalınırsa, sahtekarlık mümkündür ve bu nedenle zararlar mümkündür.
  • Bir veri ihlali meydana gelirse ve müşterilerinizin finansal ve tanımlayıcı bilgileri, özellikle de topluca çalınırsa, ihmalkar bulursanız sorun olur. Kimlik hırsızlığı meydana gelecektir ve diğer olası sorunlar ortaya çıkabilir (bir suçlunun birisinin adresi ile neler yapabileceğini düşünün).

Ölçek de önemli ölçüde önemli olabilir. Etkilenen kişi başına birçok yerleşim yeri ve para cezası verilir (bir sınıf davası davasının doğası gereği). İşiniz muhtemelen 10 kayıtlarının kaybını karşılayabilir, çünkü bu büyüklüğün ihlalinin mahkemeye çıkarılması pek olası değildir. Bununla birlikte, 100,000 mali kayıtlarının kaybını kaldıramıyor. Örneğin, Hedef son zamanlarda $ 18.5 milyonluk bir ödeme gerçekleştirdi milyonlarca kredi kartı kaydı içeren bir 2013 veri ihlali için çeşitli devlet yönetimlerine.

Hangi Emsaller Belirlendi?

Temel olarak, yasa kitaplarda yazılanlar hakkında olduğu kadar emsali de ilgilendirir, bu yüzden önceki ihlallerden ve vakalardan bildiğimiz şeye bakalım:

1- Şirketler Sorumlu Tutulabilir (veya Yakında Olacak)

Şirketler ve web siteleri, müşterileri ve müşterileri için bir sorumluluğa sahiptir. Bu, özellikle sağlık ve hukuk gibi kayıt ve gizliliğin yanlış kullanımının İnternet yaşından çok önce sonuçlandığı belirli alanlarda geçerlidir. Bu kurallar hala geçerlidir ve web siteniz hassas alanlarda çalışıyorsa ne yapabileceğinizi ve yapamayacağınızı bilmelisiniz. Kanun açık.

Bununla birlikte, herkes için, yine de, sadece şimdilik şimdilik, sular sorumluluk derecesiyle ilgili olarak hala karışıktır. İngiltere'de, yerleşim yerleri ve para cezaları artıyor. AB’de yeni mevzuat yürürlüğe girdiğinde, zor gelecek işletmeler üzerinde, bilgilerini yeterince korumayan ve kendilerini bir veri ihlali olarak yanlış bir şekilde bulmayan firmalar hakkında potansiyel olarak milyarlarca dolarlık bir ücret talep ediyorlar.

Bu konuda ABD'den ne bekleyebiliriz? Bu, bununla ilgili açık bir mevzuatın olmaması çok az. Davalar, büyük ölçekli bir veri ihlali olduğunda neredeyse otomatik olarak dosyalanır, ancak avukatlar dolar işaretleri ve bir miktar tanıtım alma şansı bulduğunda bu beklenen bir durumdur. Bunun yerine, başka örneklere bakmamıza neden olacak şekilde, duruma göre bir vaka üzerinde çalışıldı.

2- Hasarlar Açık Olmalı

Veri ihlalleri sıklıkla gerçekleşir ve çoğu zaman çok az şey ifade eder.

Tüketicilerden gelen birçok dava, kimlik hırsızlığından kaynaklanan olası bir zararın güçlü bir argüman olarak ortaya çıkmayacağı için çok başarılı olmayacaktır. Bir veri ihlalden hemen sonra sağlanması zor olan fiili veya yakın yaralanmalara dair kanıt olması gerekir. Bu değişebilir, ama şimdiye kadar böyle görünüyor.

Çoğu bilgisayar korsanları ve siber suçlular, yeni edinilen verileri denemekten daha iyi bilirler ve daha fazlası, kimlik hırsızlığı halkaları için verileri satın alacak birini arar (bir bilgisayar korsanının milyonlarca kredi kartı numarası kullanması muhtemel değildir). O zaman bile, kimlik hırsızlığının çoğu eş zamanlı olarak çalınmazdı, yani bir sınıf eylemi davası düzenlemek daha zor.

Wendy's, örneğin, onlara karşı bir sınıf eylemi vardı, ama dava sonunda reddedildi. Mahkeme, zararların yeterli olmadığını ve bu zararların tazmin edilmesinden bu yana davanın önünde durmadığını belirtti. Daha da önemlisi, mahkemeler, bir kredi kartındaki basit hileli suçlamaların, tazminat talep etmek için yeterli olmadığını tespit etti.

3- İhmal ve Uygun Protokol

Çalışma yapan bir sınıf davası davası örneği olarak, Neiman Marcus müşterileri $ 1.6 milyon dolarlık bir takım kazandı onaylandıktan sonra şirkete karşı perakendeci uygun koruma sağlayamadı. Bu sadece bir web sitesi değil, sadece bir web sitesi olsa da, bir işletmeyi yönetiyorsanız, bu ihmalin tolere edilmeyebileceğine dair açık bir mesajdır.

Hükümet zaten gibi şirketler sonra gitti Wyndham ve Terracom Bilgiyi düzgün bir şekilde koruyamadığı için. Bazı suç örnekleri şunları içerir:

  • Kart bilgilerini koruma veya şifreleme olmadan saklama.
  • Güvenlik duvarlarını veya diğer güvenlik önlemlerini fiziksel konumlarda kullanmamak.
  • Kolayca tahmin edilen şifreler kullanarak.
  • Dış bağlantıların kısıtlanması başarısız.
  • Açık bir şekilde korunmayan sunucularda bilgi depolanması.

Buna ek olarak, hükümet, şirketlere daha yüksek güvenlik önlemleri uygulamalarını ve para cezalarının üstüne ek maliyetler eklemesini zorunlu kılmıştır.

4 - Belli Kayıtlar Daha Fazlası

Daha önce sağlık kayıtlarıyla ilgili olarak belirtildiği gibi, HIPAA (ya da eşdeğeri) zorlanacak ihlal edildiği tespit edildiğinde.

Son zamanlarda, hem Amerika'da hem de yurtdışında bir dizi yüksek profilli sağlık veri ihlali olmuştur ve bu, daha sıkı yaptırımı zorunlu kılmak ve dijital çağda daha sert cezalar oluşturmak için artan baskı olmayacağını düşünmek aptalca olacaktır. Web siteniz sağlık bakımıyla ilgiliyse, profesyonel siber güvenlik yardımını düşünmelisiniz.

Doğrudan finansal yönetim veya diğer gizli bilgiler ile ilgili kayıtlar da yüksek bir standartta tutulacaktır. Morgan Stanley müşteri bilgilerini koruyamadı ve bunun için $ 1 milyon kaybetti.

Ayrıca, sözleşme hükümleri veya diğer yasal açıdan bağlayıcı koşulların bir mahkemede kendi ağırlıkları olacağına dikkat edilmelidir. İşletmeniz bazı bilgileri güvenli tutmayı kabul ederse, diğer emsallere bakılmaksızın, onu güvende tutmaktan yasal olarak sorumlu olursunuz.

5 - Bölgeye göre farklılık gösterebilir

Amerika Birleşik Devletleri'nde yasalar, teknolojinin kullanımı ve web sitesi kullanımının ve gizliliğinin sorumluluğu ile ilgili olarak devletten devlete farklılık göstermektedir. Ceza ve standartlarda farklılıklar olmasına rağmen, her devletin siber suçla ilgili kitapları hakkında yasaları vardır.

Uluslararası bir olayla uğraşıyorsanız çok daha karmaşık olabilir. Uluslararası hukukun kiracısı tam olarak anlaşılması kolay değil. Bu, özellikle kurumsal sorumlulukla ilgili yasalarda ve hatta teknolojiye ilişkin nispeten yeni yasalar söz konusu olduğunda geçerlidir.

Belirtildiği gibi, yasal sistemler yasal mevzuatta olduğu gibi yasal mevzuatta da faaliyet göstermekte olup, bu alanda çok sayıda örnek bulunamamıştır. Siz de ister istemez, ister istemez, sitenizle bir veri ihlali yaşanması için bir test vakası olmak istemezsiniz. Görüntünüze bu tür bir hasardan kurtulmak neredeyse imkansızdır.

Bölgeye göre 2016'teki ihlal olayları.

Sorumluluk Riskinizi Azaltma

Kendiniz bir ihlalin yanlış ucunda bulsanız bile, sorumluluk riskiniz azaltılabilir. Sorumluluk sahibi ve ne olduğunu açık olarak açıklıyorsanız ve ihlali önlemek için makul bir yol bulunmuyorsa, muhtemelen haklısınız ve web sitenizin markasını ve kitlesini yeniden inşa etmeye odaklanabilirsiniz. Her zaman olduğu gibi, durum tespiti temettü ödüyor.

Özet olarak, mümkün olan en kısa sürede aşağıdakileri yapmalısınız:

  • Mümkün olan en geniş ölçüde, sitenizi ziyaretçilerinizi koruyacak korumalar yerleştirin. Web sitenizde HTTPS'yi etkinleştirin, yorumlarınızın otomatik olarak denetlendiğinden (veya web sitenize bağlı olarak bunları devre dışı bıraktığından) emin olun, eklentilerinizi güncel tutun ve güncel olmayanları kaldırın.
  • Cihazlarınızı benzer şekilde koruyun ve insan hatalarına karşı önlem alın. Uygun prosedürü veya yasaları izlemeyen bir kişi, savunmasız olan bir süpervizörden sizi sorumlu kılmaya daha muhtemeldir.
  • Durumunuzla ilgili eyalet yasalarınızı okuyun. Organizasyonunuz bunu karşılayabiliyorsa, bir bilgi sızıntısı olması halinde, sorumluluk riskini belirlemek için yasal bir danışmana başvurunuz. Bunun sürekli değişen bir alan olduğunu ve birkaç yıl önceki emir ve yasaların artık geçerli olmayabileceğini unutmayın.
  • Web sitenizin güvenliğini mümkün olduğunca kanıtlamaya çalışın. Bunu mükemmel şekilde yapmanın bir yolu yokken, yetenekli bir bilgisayar korsanı'nın kullanabileceği potansiyel stratejileri hayal etmeyi deneyin.
  • Web sitenizi ihlal ediyorsanız, hızlı ve kararlı bir şekilde yanıt verin. Sızıntıyı örtbas etmediğinizden veya hasarın kapsamını gizlemediğinizden emin olun. Sadece herhangi bir potansiyel soruşturmada çok daha kötü görünmenizi sağlar ve suçlu gibi görünmesini sağlar (web sitenizin kullanıcılarının kendilerini koruma ve savunma hakkı vardır). Kendinizi etkilemeyin ve tam suçlamayı kabul etmeyin (bir blog gönderisinde bile), ancak durumu kabul edin ve kullanıcıya hasarı hafifletmek ve tekrar meydana gelmesini önlemek için ne yaptığınızı söyleyin.

Büyük olasılık var kendinizi korumak için alabileceğiniz diğer önlemlerAncak sorumlulukla ilgili bu soruya gerçek bir bakış açısı sunabilmek için çok fazla durumsal değildirler. Web sitenizde kullandığınız komut dosyalarının sizi savunmasız hale getirip getirmediği (veri toplamak için hangi yöntemleri kullandığınız konusunda dikkatli olmanız), topladığınız verilerin ve kitlenizle olan etkileşim düzeyiniz gibi şeyler (bilgisayar korsanları iletişimi ve tahmini bilgileri görüntüleyebilir) siber güvenlik yükümlülüğü söz konusu olduğunda.

Potansiyel sorumluluğunuz hakkındaki düşünceleriniz ne olursa olsun, kendinizi korursanız ve karşılaştığınız bilgiyi kullanırsanız daha iyi durumda olursunuz. Bu durum değişmeye devam edecektir, bu nedenle yasal veya siber güvenlik ile ilgili herhangi bir riskin üstesinden geldiğinizden emin olmak için dikkatli olunuz. Doğru fikirler ve özveri ile, bu sorun hakkında endişelenmenize gerek yok.

Yazar hakkında: Cassie Phillips

Cassie düzenli olarak yazıyor bir teknoloji ve siber güvenlik blogger Güvenli Düşünceler. Onu yeni trendleri araştırıyor ve seyircilerini kurmaya çalışıyorsunuz. Bu bilgilerin işinizi kurduğunuz sırada çevrimiçi tehditlerden uzak tutmanıza yardımcı olacağını umuyor.

WHSR Misafir Hakkında

Bu makale bir konuk katkıda bulunan tarafından yazılmıştır. Yazarın aşağıdaki görüşleri tamamen kendi başınadır ve WHSR'nin görüşlerini yansıtmayabilir.