如果您的網站遭到黑客攻擊,您能否堅持?

文章撰寫者:
  • 在線業務
  • 更新:Jul 03,2017

針對企業,服務和零售商的犯罪通常不像過去那樣涉及實體業務。 相反,我們發現,“自由職業者”和黑客集團的網絡犯罪都在增加。 他們希望敏感的用戶信息出售給身份竊賊(或使用自己)。

然而,對遭受這些攻擊的企業的法律後果又如何呢? 他們是否有責任保護信息? 這種責任的程度是多少?

簡短的回答,這取決於。 在大多數現代社會中,在責任方面很少有削減和乾燥的情況。 有一定程度的合理性,罪責和規模問題需要考慮。 鑑於網站可以處理數百萬用戶和a 很多錢 定期地,以及數百萬條潛在的私人信息,一個明確的答案是不可能的。

值得注意的是,發生的大部分內容主要適用於大型企業,但如果您經營小型企業(基於網絡或其他方式),如果您的網站遭遇違規,大多數相同的法律都適用。

讓我們看看之前的幾個案例和違規行為,以便更好地確定您的風險:

數據洩露:規模和類型

數據洩露的現實(2016統計,來源: 違反水平指數).

假設您的業務已成為數據洩露的受害者。 在您處理損壞之前,您需要確定攻擊的規模。 怎麼做到這一點?

首先,讓我們考慮被盜的數據:

  • 您的企業不會因電子郵件地址被盜而面臨太多法律糾紛。 受害者可能甚至沒有註意到。 電子郵件地址既便宜又常見,而且您的訂閱者列表中的小漏洞或黑客攻擊通常是導致這種違規行為的原因。
  • 帳戶信息是另一回事。 如果您的網站上的帳戶被盜,則可能存在欺詐行為,因此可能會造成損害。
  • 如果發生數據洩露並且客戶的財務和識別信息被竊取,尤其是集體竊取,如果您發現疏忽將會成為問題。 身份盜竊將會發生,並且可能出現其他潛在問題(考慮犯罪分子可以對某人的地址做些什麼)。

規模也很重要。 每個受影響的人都會徵收許多定居點和罰款(這是集體訴訟的性質)。 您的企業可能承擔丟失10記錄的費用,因為違反此規模的行為極不可能將其告上法庭。 但是,它無法處理100,000財務記錄的丟失。 例如,目標 最近支付了18.5萬美元的和解 向各州政府發送涉及數百萬張信用卡記錄的2013數據洩露事件。

先例已經設定了什麼?

從根本上說,法律與先例一樣多,關於書中所寫的內容,所以讓我們看看我們從以前的違規和案例中得到的知識:

1-公司可以保持可行(或將很快)

公司和網站對其客戶和客戶負有責任。 在醫療保健和法律等某些領域尤其如此,在這些領域,記錄和保密性的不當處理在互聯網時代之前就產生了影響。 這些規則仍然適用,如果您的網站在敏感領域運營,您應該知道自己能做什麼,不能做什麼。 法律很明確。

然而,對於其他所有人來說,如果只是現在,水的責任範圍仍然是模糊的。 在英國,定居點和罰款正在增加。 歐盟新立法一旦生效, 會很難下來的 對企業而言,可能會對那些沒有充分保護其信息並發現自己處於數據洩露錯誤端的公司罰款數十億美元。

在這個問題上我們對美國有什麼期望? 對此沒有明確的立法。 當存在大規模數據洩露時,訴訟幾乎自動提交,但是當律師看到美元符號並有機會獲得一些宣傳時,這是可以預期的。 相反,它是根據具體情況制定的,讓我們看看其他例子。

必須清除2-損害賠償金

數據洩露經常發生,並且通常看起來很少。

消費者的許多訴訟可能不會太成功,因為身份盜竊造成的潛在傷害不會成為一個強有力的論據。 需要有實際或即將發生的傷害的證據,這在數據洩露後很難立即提供。 這可能會改變,但到目前為止似乎是這種情況。

大多數黑客和網絡犯罪分子都比嘗試新獲得的數據更好,還有更多人只是在尋找有人購買身份盜竊環的數據(一個黑客不太可能使用數百萬的信用卡號碼)。 即便如此,大部分身份盜竊都不會同時被盜,這意味著集體訴訟更難以組織起來。

例如,Wendy就有針對他們的集體訴訟,但是 案件最終被駁回。 法院指出損害賠償金不足,而且由於這些賠償金已經報銷,因此該案件並未在法律面前站出來。 更有趣的是,法院認為信用卡上的簡單欺詐指控不足以保證賠償。

3-過失和適當的協議

作為集體訴訟的一個例子確實有效, Neiman Marcus的客戶贏得了價值1.6百萬美元的套裝 在確認零售商未能提供適當保護後對公司提起訴訟。 雖然這是一家大公司,而不僅僅是一個網站,但如果您經營一家公司,這是一個明確的信息,可能無法容忍忽視。

政府已經去過像這樣的公司 溫德姆酒店 - TerraCom 未能妥善保護信息。 一些違法行為的例子包括:

  • 存儲卡信息,無需保護或加密。
  • 未在物理位置使用防火牆或其他安全措施。
  • 使用容易猜到的密碼。
  • 未能限制外部連接。
  • 存儲明顯不受保護的服務器的信息。

此外,政府要求公司實施更好的安全措施,在罰款之外增加額外成本。

4-某些記錄更重要

如前所述,有關健康記錄,HIPAA(或同等學歷) 將被強制執行 如果發現被侵犯。

最近,國內外都出現了一系列備受矚目的健康數據違規行為,認為在數字時代要求更嚴格的執法並製造更嚴厲的懲罰措施的壓力不大是愚蠢的。 如果您的網站與醫療保健相關,您應該​​考慮專業的網絡安全幫助。

與直接財務管理或其他機密信息相關的記錄也將保持高標準。 摩根士丹利未能保護客戶信息 並為此損失了$ 1。

此外,應該指出的是,合同規定或其他具有法律約束力的情況在法庭上具有其自身的重要性。 如果您的企業同意保護某些信息安全,那麼無論其他先例如何,您都有法律責任保證其安全。

5-它可能因地區而異

在美國,法律在使用技術和網站使用和隱私責任方面各不相同。 每個州都有關於網絡犯罪的書籍法律,儘管處罰和標準存在差異。

如果你正在處理國際事件,可能會復雜得多。 國際法的租戶並不容易理解。 關於企業責任的法律尤其如此,當涉及到涉及技術的相對新法律時更是如此。

如上所述,法律制度的運作與法律先例和立法一樣多,並且在這一法律領域中沒有很多先例。 您也不想成為測試用例,因為無論您是否負有責任,人們都會將您的網站與數據洩露相關聯。 幾乎不可能從圖像的這種損害中恢復過來。

按區域違反2016事件。

降低您的責任風險

但是,即使您發現自己處於違規行為的錯誤目的,也可以減輕您的責任風險。 如果您對所發生的事情負責並且公開,並且沒有合理的方法可以防止違規行為,那麼您可能會處於正確的狀態,並且可以專注於重建您的網站的品牌和受眾。 一如既往,盡職調查會帶來好處。

總之,您應該盡快執行以下操作:

  • 在您能夠的最大範圍內,在您的網站上提供保護您的訪問者的保護。 在您的網站上啟用HTTPS,確保您的評論自動審核(或根據您的網站禁用它們),使您的插件保持最新並刪除任何過時的。
  • 同樣保護您的設備並採取預防人為錯誤的措施。 不遵守正當程序或法律的人比沒有辯護的超級病毒更有可能使您承擔責任。
  • 閱讀您所在州的有關此事的法律。 如果您的組織能夠負擔得起,請考慮聘請法律顧問,以確定在信息洩露時承擔責任的風險。 請注意,這是一個不斷變化的領域,幾年前的先例和法律可能不再適用。
  • 盡量為將來證明您網站的安全性。 雖然沒有辦法完美地做到這一點,但試著想像一下熟練的黑客可能會使用的潛在策略。
  • 如果您發現您的網站遭到破壞,請迅速果斷地做出回應。 確保不要試圖掩蓋洩漏或以其他方式隱藏損壞的程度。 它只會讓你在任何潛在的調查中看起來更糟糕,並且會讓你看起來像你應該受到責備(你的網站的用戶有權保護和保護自己)。 不要暗示自己並接受完全的責備(即使在博客文章中),而是承認這種情況並告訴用戶你正在做些什麼來減輕損害並防止它再次發生。

有可能 你可以採取其他措施來保護自己,但它們太過於情境化,無法真正洞察這個關於責任的問題。 諸如您在網站上使用的腳本是否容易受到攻擊(請注意您用於收集數據的方法),收集的確切數據以及您與受眾的互動程度(黑客可能會查看通信和推斷信息)等問題從那裡)到網絡安全責任問題。

無論您對自己的潛在責任有何看法,如果您保護自己並使用您遇到的任何知識,您將會感覺更好。 這種情況將繼續發生變化,因此請保持警惕,確保您掌握任何風險,法律或網絡安全相關的風險。 有了正確的想法和奉獻精神,你不必擔心這個問題。

關於作者:Cassie Phillips

Cassie是一位技術和網絡安全博客,經常為他寫作 安全的想法。 你通常可以找到她研究新趨勢並試圖建立她的觀眾。 她希望這些信息可以幫助您在建立業務時遠離在線威脅。

關於WHSR嘉賓

本文由客座撰稿人撰寫。 以下作者的觀點完全是他或她自己的觀點,可能無法反映WHSR的觀點。