如果您的网站遭到黑客攻击,您能否坚持?

文章撰写者:
  • 在线业务
  • 更新:Jul 03,2017

针对企业,服务和零售商的犯罪通常不像过去那样涉及实体业务。 相反,我们发现,“自由职业者”和黑客集团的网络犯罪都在增加。 他们希望敏感的用户信息出售给身份窃贼(或使用自己)。

然而,对遭受这些攻击的企业的法律后果又如何呢? 他们是否有责任保护信息? 这种责任的程度是多少?

简短的回答,这取决于。 在大多数现代社会中,在责任方面很少有削减和干燥的情况。 有一定程度的合理性,罪责和规模问题需要考虑。 鉴于网站可以处理数百万用户和a 很多钱 定期地,以及数百万条潜在的私人信息,一个明确的答案是不可能的。

值得注意的是,发生的大部分内容主要适用于大型企业,但如果您经营小型企业(基于网络或其他方式),如果您的网站遭遇违规,大多数相同的法律都适用。

让我们看看之前的几个案例和违规行为,以便更好地确定您的风险:

数据泄露:规模和类型

数据泄露的现实(2016统计,来源: 违反水平指数).

假设您的业务已成为数据泄露的受害者。 在您处理损坏之前,您需要确定攻击的规模。 怎么做到这一点?

首先,让我们考虑被盗的数据:

  • 您的企业不会因电子邮件地址被盗而面临太多法律纠纷。 受害者可能甚至没有注意到。 电子邮件地址既便宜又常见,而且您的订阅者列表中的小漏洞或黑客攻击通常是导致这种违规行为的原因。
  • 帐户信息是另一回事。 如果您的网站上的帐户被盗,则可能存在欺诈行为,因此可能会造成损害。
  • 如果发生数据泄露并且客户的财务和识别信息被窃取,尤其是集体窃取,如果您发现疏忽将会成为问题。 身份盗窃将会发生,并且可能出现其他潜在问题(考虑犯罪分子可以对某人的地址做些什么)。

规模也很重要。 每个受影响的人都会征收许多定居点和罚款(这是集体诉讼的性质)。 您的企业可能承担丢失10记录的费用,因为违反此规模的行为极不可能将其告上法庭。 但是,它无法处理100,000财务记录的丢失。 例如,目标 最近支付了18.5万美元的和解 向各州政府发送涉及数百万张信用卡记录的2013数据泄露事件。

先例已经设定了什么?

从根本上说,法律与先例一样多,关于书中所写的内容,所以让我们看看我们从以前的违规和案例中得到的知识:

1-公司可以保持可行(或将很快)

公司和网站对其客户和客户负有责任。 在医疗保健和法律等某些领域尤其如此,在这些领域,记录和保密性的不当处理在互联网时代之前就产生了影响。 这些规则仍然适用,如果您的网站在敏感领域运营,您应该知道自己能做什么,不能做什么。 法律很明确。

然而,对于其他所有人来说,如果只是现在,水的责任范围仍然是模糊的。 在英国,定居点和罚款正在增加。 欧盟新立法一旦生效, 会很难下来的 对企业而言,可能会对那些没有充分保护其信息并发现自己处于数据泄露错误端的公司罚款数十亿美元。

在这个问题上我们对美国有什么期望? 对此没有明确的立法。 当存在大规模数据泄露时,诉讼几乎自动提交,但是当律师看到美元符号并有机会获得一些宣传时,这是可以预期的。 相反,它是根据具体情况制定的,让我们看看其他例子。

必须清除2-损害赔偿金

数据泄露经常发生,并且通常看起来很少。

消费者的许多诉讼可能不会太成功,因为身份盗窃造成的潜在伤害不会成为一个强有力的论据。 需要有实际或即将发生的伤害的证据,这在数据泄露后很难立即提供。 这可能会改变,但到目前为止似乎是这种情况。

大多数黑客和网络犯罪分子都比尝试新获得的数据更好,还有更多人只是在寻找有人购买身份盗窃环的数据(一个黑客不太可能使用数百万的信用卡号码)。 即便如此,大部分身份盗窃都不会同时被盗,这意味着集体诉讼更难以组织起来。

例如,Wendy就有针对他们的集体诉讼,但是 案件最终被驳回。 法院指出损害赔偿金不足,而且由于这些赔偿金已经报销,因此该案件并未在法律面前站出来。 更有趣的是,法院认为信用卡上的简单欺诈指控不足以保证赔偿。

3-过失和适当的协议

作为集体诉讼的一个例子确实有效, Neiman Marcus的客户赢得了价值1.6百万美元的套装 在确认零售商未能提供适当保护后对公司提起诉讼。 虽然这是一家大公司,而不仅仅是一个网站,但如果您经营一家公司,这是一个明确的信息,可能无法容忍忽视。

政府已经去过像这样的公司 温德姆TerraCom 未能妥善保护信息。 一些违法行为的例子包括:

  • 存储卡信息,无需保护或加密。
  • 未在物理位置使用防火墙或其他安全措施。
  • 使用容易猜到的密码。
  • 未能限制外部连接。
  • 存储明显不受保护的服务器的信息。

此外,政府要求公司实施更好的安全措施,在罚款之外增加额外成本。

4-某些记录更重要

如前所述,有关健康记录,HIPAA(或同等学历) 将被强制执行 如果发现被侵犯。

最近,国内外都出现了一系列备受瞩目的健康数据违规行为,认为在数字时代要求更严格的执法并制造更严厉的惩罚措施的压力不大是愚蠢的。 如果您的网站与医疗保健相关,您应该考虑专业的网络安全帮助。

与直接财务管理或其他机密信息相关的记录也将保持高标准。 摩根士丹利未能保护客户信息 并为此损失了$ 1。

此外,应该指出的是,合同规定或其他具有法律约束力的情况在法庭上具有其自身的重要性。 如果您的企业同意保护某些信息安全,那么无论其他先例如何,您都有法律责任保证其安全。

5-它可能因地区而异

在美国,法律在使用技术和网站使用和隐私责任方面各不相同。 每个州都有关于网络犯罪的书籍法律,尽管处罚和标准存在差异。

如果你正在处理国际事件,可能会复杂得多。 国际法的租户并不容易理解。 关于企业责任的法律尤其如此,当涉及到涉及技术的相对新法律时更是如此。

如上所述,法律制度的运作与法律先例和立法一样多,并且在这一法律领域中没有很多先例。 您也不想成为测试用例,因为无论您是否负有责任,人们都会将您的网站与数据泄露相关联。 几乎不可能从图像的这种损害中恢复过来。

按区域违反2016事件。

降低您的责任风险

但是,即使您发现自己处于违规行为的错误目的,也可以减轻您的责任风险。 如果您对所发生的事情负责并且公开,并且没有合理的方法可以防止违规行为,那么您可能会处于正确的状态,并且可以专注于重建您的网站的品牌和受众。 一如既往,尽职调查会带来好处。

总之,您应该尽快执行以下操作:

  • 在您能够的最大范围内,在您的网站上提供保护您的访问者的保护。 在您的网站上启用HTTPS,确保您的评论自动审核(或根据您的网站禁用它们),使您的插件保持最新并删除任何过时的。
  • 同样保护您的设备并采取预防人为错误的措施。 不遵守正当程序或法律的人比没有辩护的超级病毒更有可能使您承担责任。
  • 阅读您所在州的有关此事的法律。 如果您的组织能够负担得起,请考虑聘请法律顾问,以确定在信息泄露时承担责任的风险。 请注意,这是一个不断变化的领域,几年前的先例和法律可能不再适用。
  • 尽量为将来证明您网站的安全性。 虽然没有办法完美地做到这一点,但试着想象一下熟练的黑客可能会使用的潜在策略。
  • 如果您发现您的网站遭到破坏,请迅速果断地做出回应。 确保不要试图掩盖泄漏或以其他方式隐藏损坏的程度。 它只会让你在任何潜在的调查中看起来更糟糕,并且会让你看起来像你应该受到责备(你的网站的用户有权保护和保护自己)。 不要暗示自己并接受完全的责备(即使在博客文章中),而是承认这种情况并告诉用户你正在做些什么来减轻损害并防止它再次发生。

有可能 你可以采取其他措施来保护自己,但它们太过于情境化,无法真正洞察这个关于责任的问题。 诸如您在网站上使用的脚本是否容易受到攻击(请注意您用于收集数据的方法),收集的确切数据以及您与受众的互动程度(黑客可能会查看通信和推断信息)等问题从那里)到网络安全责任问题。

无论您对自己的潜在责任有何看法,如果您保护自己并使用您遇到的任何知识,您将会感觉更好。 这种情况将继续发生变化,因此请保持警惕,确保您掌握任何风险,法律或网络安全相关的风险。 有了正确的想法和奉献精神,你不必担心这个问题。

关于作者:Cassie Phillips

Cassie是一位技术和网络安全博客,经常为他写作 安全的想法。 你通常可以找到她研究新趋势并试图建立她的观众。 她希望这些信息可以帮助您在建立业务时远离在线威胁。

关于WHSR嘉宾

本文由客座撰稿人撰写。 以下作者的观点完全是他或她自己的观点,可能无法反映WHSR的观点。