Bạn có thể chịu trách nhiệm nếu trang web của bạn bị tấn công?

Bài viết được viết bởi:
  • Kinh doanh trực tuyến
  • Cập nhật: Tháng bảy 03, 2017

Tội ác chống lại các doanh nghiệp, dịch vụ và nhà bán lẻ thường không liên quan đến các doanh nghiệp vật chất nhiều như trước đây. Thay vào đó, những gì chúng tôi tìm thấy là sự gia tăng tội phạm mạng từ cả hai "dịch giả tự do" và các tập đoàn hack. Họ muốn thông tin người dùng nhạy cảm để bán cho kẻ trộm danh tính (hoặc sử dụng chính họ).

Tuy nhiên, những gì về hậu quả pháp lý cho các doanh nghiệp mà là nạn nhân của các cuộc tấn công? Họ có trách nhiệm bảo vệ thông tin không? Và mức trách nhiệm đó là bao nhiêu?

Câu trả lời ngắn gọn, nó phụ thuộc. Trong hầu hết các xã hội hiện đại, có rất ít tình huống bị cắt và khô khi nói đến trách nhiệm pháp lý. Có mức độ hợp lý, khả năng sinh sản và các vấn đề về quy mô cần xem xét. Do các trang web có thể xử lý hàng triệu người dùng và rất nhiều tiền một cách thường xuyên, và do đó hàng triệu mẩu thông tin riêng tư tiềm ẩn, một câu trả lời rõ ràng là không thể.

Như một lưu ý, phần lớn những gì đã xảy ra đã áp dụng chủ yếu cho các tập đoàn lớn, nhưng nếu bạn điều hành một doanh nghiệp nhỏ (dựa trên web hoặc theo cách khác), hầu hết các luật tương tự sẽ được áp dụng nếu trang web của bạn bị tấn công.

Hãy xem xét một vài trường hợp trước và vi phạm để xác định rõ hơn rủi ro của bạn:

Vi phạm dữ liệu: Quy mô và loại

Thực tế của vi phạm dữ liệu (số liệu thống kê 2016, nguồn: Chỉ số mức vi phạm).

Xem xét, theo giả thuyết, rằng doanh nghiệp của bạn đã trở thành nạn nhân của việc vi phạm dữ liệu. Trước khi bạn tham dự các thiệt hại, bạn cần phải xác định quy mô của cuộc tấn công. Làm thế nào để làm điều này?

Đầu tiên, hãy xem xét dữ liệu đã bị đánh cắp:

  • Doanh nghiệp của bạn sẽ không gặp phải nhiều rắc rối pháp lý về địa chỉ email bị đánh cắp. Nạn nhân thậm chí có thể không nhận thấy. Địa chỉ email có giá rẻ và phổ biến và một vi phạm nhỏ hoặc đột nhập vào danh sách người đăng ký của bạn thường là nguyên nhân của loại vi phạm này.
  • Thông tin tài khoản là một vấn đề khác. Nếu tài khoản bị đánh cắp từ trang web của bạn, có thể có gian lận và do đó, có thể gây thiệt hại.
  • Nếu vi phạm dữ liệu xảy ra và thông tin tài chính và nhận dạng của khách hàng của bạn bị đánh cắp, đặc biệt là một số lượng lớn, nó sẽ là một vấn đề nếu bạn có thể tìm thấy sự cẩu thả. Trộm cắp danh tính sẽ xảy ra, và các vấn đề tiềm ẩn khác có thể phát sinh (xem xét việc một tội phạm có thể làm gì với địa chỉ của ai đó).

Quy mô cũng có thể rất quan trọng. Nhiều khu định cư và tiền phạt được tính cho mỗi người bị ảnh hưởng (như bản chất của một vụ kiện tập thể). Doanh nghiệp của bạn có thể đủ khả năng để mất các hồ sơ 10 vì rất ít khả năng vi phạm quy mô này sẽ bị đưa ra tòa. Nó không thể, tuy nhiên, xử lý sự mất mát của hồ sơ tài chính 100,000. Ví dụ: Mục tiêu gần đây đã thanh toán khoản thanh toán $ 18.5 triệu đô la cho các chính phủ tiểu bang khác nhau cho một vi phạm dữ liệu 2013 liên quan đến hàng triệu hồ sơ thẻ tín dụng.

Những tiền lệ nào đã được đặt?

Về cơ bản, luật pháp càng nhiều về tiền lệ vì nó là về những gì được viết trong sách, vì vậy hãy nhìn vào những gì chúng ta biết từ những vi phạm và trường hợp trước đây:

1- Các công ty có thể phải chịu trách nhiệm (hoặc sẽ sớm trở thành)

Các công ty và trang web có trách nhiệm với khách hàng và khách hàng của họ. Đây là trường hợp đặc biệt trong các lĩnh vực nhất định, chẳng hạn như chăm sóc sức khỏe và pháp luật, nơi xử lý sai hồ sơ và bảo mật đã có hậu quả rất xa trước thời đại Internet. Những quy tắc này vẫn áp dụng và nếu trang web của bạn hoạt động trong các lĩnh vực nhạy cảm, bạn nên biết những gì bạn có thể và không thể làm. Luật pháp rõ ràng.

Tuy nhiên, đối với những người khác, các vùng biển vẫn còn tối tăm về mức độ trách nhiệm, nếu chỉ cho đến bây giờ. Tại Anh, các khu định cư và tiền phạt đang gia tăng. Luật mới ở EU, một khi nó có hiệu lực, sẽ xuống cứng về các doanh nghiệp, có khả năng đánh cắp hàng tỷ đô la tiền phạt đối với các công ty không bảo vệ đầy đủ thông tin của họ và thấy mình vào cuối sai của một vi phạm dữ liệu.

Những gì chúng ta có thể mong đợi từ Hoa Kỳ về vấn đề này? Đây là ít hoặc không có luật pháp rõ ràng về điều này. Vụ kiện được nộp gần như tự động khi có một vi phạm dữ liệu quy mô lớn, nhưng đó là để được mong đợi khi luật sư thấy dấu hiệu đồng đô la và một cơ hội để đạt được một số công khai. Thay vào đó, nó được làm việc trên cơ sở từng trường hợp, dẫn chúng ta xem xét các ví dụ khác.

2- Thiệt hại phải rõ ràng

Vi phạm dữ liệu xảy ra thường xuyên và thường xuất hiện có nghĩa là rất ít.

Nhiều vụ kiện từ người tiêu dùng có thể sẽ không quá thành công, vì thương tích tiềm năng xuống dòng từ hành vi trộm cắp danh tính sẽ không giữ vững như một cuộc tranh cãi mạnh mẽ. Sẽ cần phải có bằng chứng về chấn thương thực tế hoặc sắp xảy ra, rất khó để cung cấp ngay sau khi vi phạm dữ liệu. Điều này có thể thay đổi, nhưng nó có vẻ là trường hợp cho đến nay.

Hầu hết các tin tặc và tội phạm mạng đều biết rõ hơn là thử dữ liệu mới mua, và nhiều người khác chỉ đơn giản tìm kiếm ai đó để mua dữ liệu cho các vòng đánh cắp nhận dạng (một hacker không có khả năng sử dụng hàng triệu số thẻ tín dụng). Thậm chí sau đó, hầu hết các hành vi trộm cắp danh tính sẽ không bị đánh cắp cùng một lúc, có nghĩa là một vụ kiện tập thể là khó khăn hơn để tổ chức.

Wendy's, ví dụ, đã có một hành động lớp học chống lại họ, nhưng trường hợp cuối cùng đã bị loại bỏ. Tòa án tuyên bố thiệt hại là không đủ, và vì những thiệt hại đã được hoàn trả, trường hợp không đứng lên trước pháp luật. Thú vị hơn, tòa án thấy các khoản phí lừa đảo đơn giản trên thẻ tín dụng không đủ để đảm bảo thiệt hại.

3- Nghị định và Nghị định thư thích hợp

Như một ví dụ về vụ kiện tập thể mà đã làm việc, Khách hàng của Neiman Marcus đã giành được một bộ đồng đô la trị giá $ 1.6 triệu đô la chống lại công ty sau khi được xác nhận rằng nhà bán lẻ không cung cấp sự bảo vệ thích hợp. Mặc dù đây là một công ty lớn và không chỉ là một trang web, nếu bạn đang điều hành một doanh nghiệp, đây là một thông điệp rõ ràng rằng sự bỏ bê có thể không được dung thứ.

Chính phủ đã đi sau các công ty như WyndhamTerraCom vì không bảo vệ đúng thông tin. Một số ví dụ về tội phạm bao gồm:

  • Lưu trữ thông tin thẻ mà không cần bảo vệ hoặc mã hóa.
  • Không sử dụng tường lửa hoặc các biện pháp bảo mật khác tại các địa điểm thực tế.
  • Sử dụng mật khẩu dễ đoán.
  • Không giới hạn kết nối bên ngoài.
  • Lưu trữ thông tin trên các máy chủ không được bảo vệ rõ ràng.

Ngoài ra, chính phủ đã yêu cầu các công ty thực hiện các biện pháp an ninh tốt hơn, bổ sung thêm chi phí cho các khoản tiền phạt.

4- Một số hồ sơ quan trọng hơn

Như đã đề cập trước đó về hồ sơ y tế, HIPAA (hoặc tương đương) sẽ được thực thi nếu bị phát hiện vi phạm.

Gần đây, đã có một loạt các dữ liệu y tế cao cấp vi phạm cả ở Hoa Kỳ và ở nước ngoài, và nó sẽ là ngu ngốc để nghĩ rằng sẽ không có áp lực ngày càng tăng để bắt buộc thực thi chặt chẽ hơn và tạo ra hình phạt khắc nghiệt hơn trong thời đại kỹ thuật số. Nếu trang web của bạn liên quan đến chăm sóc sức khỏe, bạn nên xem xét trợ giúp bảo mật mạng chuyên nghiệp.

Các hồ sơ liên quan đến quản lý tài chính trực tiếp hoặc thông tin bí mật khác cũng sẽ được tổ chức theo tiêu chuẩn cao. Morgan Stanley không thể bảo vệ thông tin khách hàng và mất $ 1 triệu cho nó.

Ngoài ra, cần lưu ý các quy định hợp đồng hoặc các trường hợp ràng buộc pháp lý khác sẽ có trọng lượng riêng của họ trong một tòa án của pháp luật. Nếu doanh nghiệp của bạn đồng ý giữ một số thông tin an toàn, bạn có trách nhiệm pháp lý để giữ an toàn cho nó, bất kể các tiền lệ khác.

5- Nó có thể khác nhau theo vùng

Tại Hoa Kỳ, các luật khác nhau giữa các tiểu bang về việc sử dụng công nghệ và trách nhiệm của việc sử dụng và bảo mật trang web. Mọi tiểu bang đều có luật về các sách liên quan đến tội phạm mạng, mặc dù có những khác biệt về hình phạt và tiêu chuẩn.

Nó có thể phức tạp hơn nhiều nếu bạn đang đối phó với một sự cố quốc tế. Những người thuê nhà của luật pháp quốc tế không chính xác dễ hiểu. Điều này đặc biệt đúng với các luật liên quan đến trách nhiệm của công ty, và thậm chí nhiều hơn thế khi các luật tương đối mới liên quan đến công nghệ có liên quan.

Như đã nêu, các hệ thống pháp luật hoạt động nhiều như tiền lệ pháp lý theo pháp luật, và chưa có nhiều tiền lệ được thiết lập trong lĩnh vực luật này. Bạn cũng không muốn là một trường hợp thử nghiệm, vì mọi người sẽ đến để liên kết trang web của bạn với vi phạm dữ liệu, cho dù bạn có chịu trách nhiệm hay không. Nó gần như không thể phục hồi từ loại thiệt hại cho hình ảnh của bạn.

Vi phạm sự cố trong 2016 theo vùng.

Giảm rủi ro trách nhiệm của bạn

Tuy nhiên, rủi ro trách nhiệm pháp lý của bạn có thể được giảm thiểu, ngay cả khi bạn thấy mình bị sai trái do vi phạm. Nếu bạn có trách nhiệm và cởi mở về những gì đã xảy ra và không có cách nào hợp lý để ngăn chặn vi phạm, bạn có thể sẽ ở bên phải và có thể tập trung vào việc xây dựng lại thương hiệu và khán giả của trang web của bạn. Như mọi khi, sự tích cực trả cổ tức.

Tóm lại, bạn nên làm như sau ngay khi bạn có thể:

  • Đến mức tối đa mà bạn có thể, đặt bảo vệ trên trang web của bạn sẽ bảo vệ khách truy cập của bạn. Bật HTTPS trên trang web của bạn, đảm bảo nhận xét của bạn được kiểm duyệt tự động (hoặc tắt chúng, tùy thuộc vào trang web của bạn), giữ cho các plugin của bạn được cập nhật và xóa mọi plugin đã lỗi thời.
  • Bảo vệ thiết bị của bạn tương tự và có biện pháp phòng ngừa chống lại lỗi của con người. Một người không tuân theo thủ tục hoặc luật pháp thích hợp có nhiều khả năng khiến bạn phải chịu trách nhiệm hơn một người giám sát không phòng thủ.
  • Đọc các luật của tiểu bang về vấn đề này. Nếu tổ chức của bạn có đủ khả năng, hãy xem xét nhận được tư vấn pháp lý để xác định nguy cơ trách nhiệm pháp lý nếu có thông tin rò rỉ. Hãy nhận biết đây là một lĩnh vực liên tục thay đổi, và các tiền lệ và luật lệ của một vài năm trước đây có thể không còn áp dụng.
  • Hãy thử để chứng minh tương lai bảo mật trang web của bạn càng nhiều càng tốt. Mặc dù không có cách nào để thực hiện điều này một cách hoàn hảo, hãy thử tưởng tượng các chiến lược tiềm năng mà một hacker có kỹ năng có thể sử dụng.
  • Nếu bạn thấy trang web của mình bị vi phạm, hãy phản hồi nhanh chóng và dứt khoát. Hãy chắc chắn rằng bạn không cố gắng che đậy rò rỉ hoặc che giấu mức độ thiệt hại. Nó sẽ chỉ làm cho bạn trông tồi tệ hơn trong bất kỳ điều tra tiềm năng và sẽ làm cho nó trông giống như bạn là để đổ lỗi (người dùng trang web của bạn có quyền tự bảo vệ và bảo vệ mình). Đừng bao hàm chính mình và chấp nhận hoàn toàn đổ lỗi (ngay cả trong một bài đăng trên blog), mà là thừa nhận tình hình và cho người dùng biết bạn đang làm gì để giảm thiểu thiệt hại và ngăn chặn nó xảy ra lần nữa.

Có khả năng các biện pháp khác mà bạn có thể thực hiện để tự bảo vệ mình, nhưng chúng quá xa để có thể cung cấp bất kỳ cái nhìn sâu sắc thực sự nào về câu hỏi này về trách nhiệm pháp lý. Những thứ như kịch bản bạn sử dụng trên trang web khiến bạn dễ bị tổn thương (hãy cẩn thận về phương pháp bạn sử dụng để thu thập dữ liệu), dữ liệu chính xác bạn thu thập và mức độ tương tác với đối tượng của bạn (tin tặc có thể xem thông tin ngoại suy và ngoại suy) từ đó) vấn đề khi nói đến vấn đề trách nhiệm bảo mật không gian mạng.

Bất kể suy nghĩ của bạn về trách nhiệm pháp lý tiềm năng của bạn, bạn sẽ tốt hơn nếu bạn bảo vệ bản thân và sử dụng bất kỳ kiến ​​thức nào bạn gặp phải. Tình trạng này sẽ tiếp tục thay đổi, vì vậy hãy thận trọng để đảm bảo bạn đang ở trên cùng của bất kỳ rủi ro, pháp lý hoặc an ninh không liên quan đến an ninh mạng. Với những ý tưởng và sự cống hiến đúng đắn, bạn không cần phải lo lắng về vấn đề này.

Về tác giả: Cassie Phillips

Cassie là một blogger công nghệ và an ninh mạng, người thường xuyên viết cho Suy nghĩ an toàn. Bạn thường có thể tìm thấy cô ấy nghiên cứu các xu hướng mới và cố gắng xây dựng khán giả của mình. Cô hy vọng thông tin này sẽ giúp bạn tránh xa các mối đe dọa trực tuyến khi bạn xây dựng doanh nghiệp của mình.

Giới thiệu về khách WHSR

Bài viết này được viết bởi một người đóng góp khách mời. Quan điểm của tác giả dưới đây hoàn toàn là của riêng mình và có thể không phản ánh quan điểm của WHSR.