诉讼的威胁足以让任何企业领导者彻夜难眠,而数据保护、隐私和网络安全立法和法规的日益普及正在给CISO(首席信息安全官)带来压力。
根据Norton Rose Fulbright 对 250 多名法律顾问和内部诉讼从业者进行的最新年度诉讼趋势调查,网络安全和数据保护将成为未来几年新的法律纠纷的主要来源。显然,对于首席信息安全官及其组织而言,诉讼风险是非常真实的,但他们最关心的领域是什么,他们能做些什么呢?
为了减轻和降低诉讼风险,首席信息安全官必须首先检查他们的安全计划在严格审查下是否“可防御”,是否能够改变和适应新的威胁。
风险的真实性
律师兼 Cordery 合伙人乔纳森·阿姆斯特朗 (Jonathan Armstrong) 表示,在过去 18 个月到两年内,组织因数据泄露而面临诉讼的可能性显著增加,尤其是当一家公司被认为没有很好地处理数据泄露事件和合规法律事务的时候。
阿姆斯特朗警告说,这对企业来说可能是相当大的影响。“举个例子,TikTok 在荷兰面临15 亿欧元的诉讼,其他国家也有类似的高额索赔,包括英国和德国;多年来,与数据相关的诉讼也一直是美国企业生活的一个特点。”
诉讼的风险不仅限于公司。Signature Litigation LLP 的合伙人西蒙·法威尔 (Simon Fawell) 表示,如果没有采取足够的措施来防止违规行为,或者违规的后果处理不当,CISO 本身将面临因失职而受到的法律诉讼。
例如, Uber 的 CSO涉嫌试图掩盖与 2016 年攻击有关的勒索软件付款,该攻击损害了数百万用户和司机的数据,就证明了这一点。
Fawell 表示,如果 CISO 担任公司董事,那么他们可能会因数据和隐私泄露,违反公司价值,面临股东违规行为。在英国,股东对董事的诉讼一直在增加。
数据泄露或隐私诉讼的潜在后果包括巨额罚款、民事和刑事处罚、声誉损害以及对股价的不利影响。所有这些都可以单独或组合影响组织和 CISO。Signature Litigation LLP 的合伙人 Alasdair Marshall 补充说,如果中间人或代理人发生违规事件并丢失可能对另一家公司的声誉造成严重损害的商业秘密或信息,这可能会导致重大诉讼。
此外,Marshall 说,为诉讼辩护可能既昂贵又耗时。虽然英国的制度允许胜诉方从败诉方那里收回法律费用,但很少会全额收回用于法律费用和辅助费用的金额。
Russ Kirby,ForgeRock 的首席信息安全官说:“诉讼也可能对网络保险事项产生直接影响,影响保险例外、续约和新业务等事项。反应最快的公司和首席信息安全官是那些将客户放在首位的公司和首席信息安全官,他们保持透明,尽一切努力帮助受影响的客户将影响降至最低,并分享他们计划采取的步骤以确保不会再次发生这种情况。”
专家们一致认为,地理因素对于首席信息安全官及其组织面临的诉讼风险尤为重要。
受数据泄露影响的个人获得赔偿的压力越来越大。Fawell 说,在不久的将来,为数据隐私案件引入某种形式的选择退出集体诉讼制度也许会出现。“英国已经针对竞争主张引入了退出机制,数据隐私将是类似方法的下一个合乎逻辑的领域。”尽管目前英国大规模集体诉讼的威胁已经减弱,但个人诉讼的威胁仍然非常明显,尤其是在高价值的公司数据可能受到损害的情况下。
GDPR(和相关的英国立法)提高了人们对数据隐私问题的认识,并更加关注商业交易中的合同条款。
咨询公司 Guidehouse 的诉讼支持服务负责人、前首席信息安全官杰克奥米拉 (Jack O'Meara) 表示,就美国而言,事情同样复杂,甚至更加复杂。“例如,在美国国防工业基地承包商工作的 CISO 需要遵守国防联邦采购条例 (DFARS) 252.204-7012 保护涵盖的国防信息和网络事件报告,而在纽约金融机构工作的 CISO 需要遵守遵守纽约州金融服务部 23 NYCRR 500 对金融服务公司的网络安全要求。”
同时,美国证券交易委员会(SEC)提出了对上市公司强制披露网络安全信息的新规定。还有书面的网络政策和程序,增强的报告,以及私人股本和投资公司的记录管理。
O'Meara 补充说,最终,美国 CISO 需要了解其公司所持有的合同中包含的特定网络安全要求,需要了解适用于其行业和地理区域的法规和要求。
如何减轻和降低诉讼风险?
为了减轻和降低诉讼风险,首席信息安全官必须首先检查他们的安全计划在严格审查下是否“可防御”,是否能够改变和适应新的威胁。如果它无法解决有关您的协议是否符合当地法律和行业标准的问题,您需要迅速采取行动解决这些差距。
Fawell 列举了五个问题,这些问题有助于从诉讼的角度衡量违规响应计划的有效性:
1、谁是需要联系的主要服务提供商?
2、内部沟通渠道是什么?谁要求指导律师和其他主要顾问?是 CISO 还是需要其他批准?
3、如果系统出现故障,处理违规的关键人员如何安全通信?
4、哪种类型的违规行为最有可能对公司产生影响?谁是最有可能受到影响的交易对手?
5、与交易对手签订的合同中的数据隐私条款有哪些要求?这些合同中是否有通知要求?
Fawell补充说:“计划的范围至少可以从确保上述问题和其他问题的答案得到启发,并且要让处理违规行为的关键人员知道答案和整个模拟违规行为到压力测试过程。”
O'Meara 表示,CISO 应该能够在需要时提供文件化的政策和程序,包括合规性工件、安全配置设置的屏幕截图、防火墙日志、访问审计日志、用户计算机系统和应用程序访问请求表以及员工安全培训记录。
Armstrong 建议 CISO 与习惯于在事件发生之前处理此类风险和诉讼的律师进行接触。
同样,O'Meara 也建议美国公司与内部法律顾问合作,以了解诉讼风险以及相关影响和后果。
Fawell说,CISO 熟悉公司网络保险政策的条款也很重要——主要是涵盖/不涵盖哪些内容以及发生违规时的通知要求。“保险公司应该是最先求助的对象之一。不仅确保承保范围很重要,保险公司通常也是有关如何处理某些方面违约的信息和建议的良好来源。”
安全领导者必须小心在违规后立即记录或不记录哪些信息。“重要的是要对所做出的决定及其原因保持清晰的审计跟踪。尤其重要的是,每个人都要了解哪些通信可能在相关司法管辖区受到法律特权的保护,而哪些则不会。”
关注特权。通常,诉讼当事人很早就要求查看内部备忘录、通讯和法证报告。如果您没有正确设置特权,您可能不得不披露所有材料。
建议,在可能的情况下,明智的做法是在关键人员之间召开面对面会议,以建立清晰的沟通渠道,并确保审计追踪准确、清晰详细地说明响应过程。
(本文出自SCA安全通信联盟,转载请注明出处。)