偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

網(wǎng)絡(luò)安全訴訟風(fēng)險(xiǎn):首席信息安全官最關(guān)心的四個(gè)問(wèn)題

安全 應(yīng)用安全
網(wǎng)絡(luò)安全訴訟的威脅足以讓企業(yè)領(lǐng)導(dǎo)者徹夜難眠,而數(shù)據(jù)保護(hù)、隱私和網(wǎng)絡(luò)安全法規(guī)的日益普及正在給首席信息安全官帶來(lái)巨大的壓力。

根據(jù)英國(guó)諾頓羅氏律師事務(wù)所對(duì)250多名法律顧問(wèn)和內(nèi)部訴訟從業(yè)者進(jìn)行的年度訴訟趨勢(shì)調(diào)查,網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)將成為未來(lái)幾年新的法律糾紛的主要驅(qū)動(dòng)因素。三分之二的受訪者表示,他們?cè)?021年更容易受到此類糾紛的影響,而2020年這一比例不到一半,而同時(shí)更復(fù)雜的網(wǎng)絡(luò)攻擊、對(duì)遠(yuǎn)程環(huán)境中的員工/承包商的監(jiān)督更少,以及對(duì)客戶數(shù)據(jù)量的擔(dān)憂都被列為影響因素。

顯然,對(duì)于首席信息安全官及其企業(yè)而言,面臨的訴訟風(fēng)險(xiǎn)是非?,F(xiàn)實(shí)的,但他們最關(guān)心的問(wèn)題是什么,能做些什么呢?

1.數(shù)據(jù)泄露引發(fā)訴訟

專門從事技術(shù)和合規(guī)法律事務(wù)的律師兼Cordery公司合伙人Jonathan Armstrong表示,在過(guò)去18個(gè)月到兩年中,企業(yè)因數(shù)據(jù)泄露而面臨訴訟的可能性顯著增加,尤其是當(dāng)企業(yè)被認(rèn)為沒有很好地處理數(shù)據(jù)泄露事件時(shí)。他補(bǔ)充說(shuō):“現(xiàn)在出現(xiàn)數(shù)據(jù)泄露事件的話,引發(fā)訴訟是必然的?!?/p>

eSentire公司戰(zhàn)略和企業(yè)發(fā)展副總裁Alex Jinivizian表示,雖然法律行動(dòng)的傾向由于所在的地理位置而有所不同,但網(wǎng)絡(luò)攻擊的持續(xù)規(guī)模已導(dǎo)致各國(guó)政府、行業(yè)和監(jiān)管機(jī)構(gòu)對(duì)安全性做出更明確的判斷,為采取更多法律行動(dòng)打開了大門。他說(shuō):“美國(guó)人事管理辦公室、Equifax、Marriott、Target公司的一些引人注目的數(shù)據(jù)泄露事件導(dǎo)致了針對(duì)這些公司的重大訴訟,涉及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)較差導(dǎo)致的員工或客戶的機(jī)密數(shù)據(jù)丟失。”

Armstrong警告說(shuō),這對(duì)企業(yè)來(lái)說(shuō)可能是相當(dāng)大的影響。他說(shuō),“目前在不同案件中尋求的損害賠償很高。例如TikTok公司在荷蘭面臨15億歐元的訴訟,其他國(guó)家也有類似的高額索賠,包括英國(guó)和德國(guó)。多年來(lái),與數(shù)據(jù)相關(guān)的訴訟也一直是美國(guó)企業(yè)面臨的風(fēng)險(xiǎn)?!?/p>

首席信息安全官受到訴訟

網(wǎng)絡(luò)安全訴訟的風(fēng)險(xiǎn)不僅限于企業(yè),也涉及個(gè)人。Signature Litigation公司合伙人Simon Fawell表示,如果沒有采取足夠的措施來(lái)防止數(shù)據(jù)泄露行為,或者違規(guī)的后果處理不當(dāng),首席信息安全官本身將面臨因失職而受到法律訴訟。

Jinivizian對(duì)這一觀點(diǎn)表示認(rèn)同,他說(shuō):“首席信息安全官的角色對(duì)大中型企業(yè)來(lái)說(shuō)從未像現(xiàn)在這樣重要,而且在安全事件和數(shù)據(jù)泄露事件中可能扮演著更重要的角色,在2020年毀滅性的供應(yīng)鏈攻擊之后,針對(duì)SolarWinds公司的首席信息安全官和其他高管的集體訴訟就是明證?!?/p>

Armstrong補(bǔ)充說(shuō),Uber公司的首席安全官涉嫌試圖掩蓋與2016年攻擊有關(guān)的勒索軟件的贖金,此次攻擊泄露了數(shù)百萬(wàn)名用戶和司機(jī)的數(shù)據(jù),這也證明了這一點(diǎn)。

Fawell表示,如果首席信息安全官擔(dān)任企業(yè)董事,那么他們可能會(huì)因?yàn)閿?shù)據(jù)和隱私泄露而面臨股東違規(guī)行為。他說(shuō),“在英國(guó),股東對(duì)企業(yè)董事的訴訟一直在增加,在數(shù)據(jù)泄露導(dǎo)致股東利益受損的情況下,越來(lái)越多地考慮對(duì)企業(yè)董事提出索賠。這反映了其他司法管轄區(qū)的趨勢(shì),例如在美國(guó),首席信息安全官已經(jīng)成為因違反職責(zé)而備受關(guān)注的索賠對(duì)象?!?/p>

2.商業(yè)秘密丟失和聲譽(yù)受損

數(shù)據(jù)泄露或隱私訴訟的潛在后果包括巨額罰款、民事和刑事處罰、聲譽(yù)損害以及對(duì)股價(jià)的不利影響。所有這些都可以單獨(dú)或組合影響企業(yè)和首席信息安全官。Signature Litigation公司的合伙人Alasdair Marshall補(bǔ)充說(shuō),如果丟失了重要信息,損失可能會(huì)非常大。他說(shuō),“例如,如果中間人或代理人發(fā)生違規(guī)事件并丟失重要信息,可能對(duì)另一家公司的聲譽(yù)造成嚴(yán)重?fù)p害的商業(yè)機(jī)密或信息,這可能會(huì)導(dǎo)致重大訴訟。近年來(lái),‘巴拿馬文件’和瑞士信貸事件凸顯了越來(lái)越多的個(gè)人尋求獲取敏感信息并將其發(fā)布到市場(chǎng)上?!?/p>

Marshall說(shuō),“此外,為訴訟辯護(hù)可能既昂貴又耗時(shí)。雖然英國(guó)的制度允許勝訴方從敗訴方那里收回訴訟費(fèi)用,但很少會(huì)全額收回用于法律費(fèi)用和輔助費(fèi)用的金額。訴訟還需要首席信息安全官和董事會(huì)層面的高度關(guān)注,這將更有成效地專注于發(fā)展和保護(hù)未來(lái)的業(yè)務(wù)?!?/p>

ForgeRock公司首席信息安全官Russ Kirby表示,訴訟也可能對(duì)網(wǎng)絡(luò)保險(xiǎn)事項(xiàng)產(chǎn)生直接影響,影響保險(xiǎn)、續(xù)約和新業(yè)務(wù)等事項(xiàng)。而不會(huì)受到訴訟影響的公司和首席信息安全官通常將客戶放在首位,他們致力保持透明,盡一切努力幫助客戶將影響降至最低,并分享他們計(jì)劃采取的步驟以確保不會(huì)再次發(fā)生這種情況。

3.法規(guī)和要求

專家一致認(rèn)為,地理因素對(duì)于首席信息安全官及其企業(yè)面臨的訴訟風(fēng)險(xiǎn)尤為重要。例如,英國(guó)最高法院在Lloyd訴谷歌案中做出裁決,終止了現(xiàn)有程序框架下的“選擇退出”集體訴訟,并強(qiáng)調(diào)了根據(jù)英國(guó)法律提起大規(guī)模數(shù)據(jù)索賠的困難,之后,大規(guī)模違規(guī)群體訴訟的威脅在英國(guó)有所減少。他補(bǔ)充說(shuō):“雖然這項(xiàng)裁決沒有完全阻止在數(shù)據(jù)隱私案件中提起集體訴訟的可能性,而且英國(guó)法院仍有許多不同的訴訟可能會(huì)取得成功,但這對(duì)索賠者來(lái)說(shuō)是一個(gè)相當(dāng)大的挫折。”

話雖如此,受數(shù)據(jù)泄露影響的個(gè)人獲得賠償?shù)膲毫υ絹?lái)越大,在相對(duì)不久的將來(lái)看到針對(duì)數(shù)據(jù)隱私案件引入某種形式的選擇退出集體訴訟制度也就不足為奇了。Fawell說(shuō),“英國(guó)已經(jīng)針對(duì)競(jìng)爭(zhēng)主張引入了退出機(jī)制,數(shù)據(jù)隱私將是類似方法的下一個(gè)合乎邏輯的領(lǐng)域?!彼赋?,盡管目前英國(guó)大規(guī)模集體訴訟的威脅已經(jīng)減弱,但個(gè)人訴訟的威脅仍然非常明顯,尤其是在高價(jià)值的數(shù)據(jù)可能受到損害的情況下。他說(shuō),“GDPR法規(guī)和英國(guó)相關(guān)的立法提高了人們對(duì)數(shù)據(jù)隱私問(wèn)題的認(rèn)識(shí),并更加關(guān)注商業(yè)交易中的合同條款?!?/p>

咨詢機(jī)構(gòu)Guidehouse公司的訴訟支持服務(wù)負(fù)責(zé)人、前首席信息安全官Jack O'Meara說(shuō),“就美國(guó)而言,這些事情可能會(huì)變得更加復(fù)雜。例如,在美國(guó)國(guó)防工業(yè)基地承包商工作的首席信息安全官需要遵守美國(guó)國(guó)防采購(gòu)條例(DFARS)252.204-7012保護(hù)涵蓋的國(guó)防信息和網(wǎng)絡(luò)事件報(bào)告,而在紐約金融機(jī)構(gòu)工作的首席信息安全官需要遵守紐約州金融服務(wù)部23NYCRR500對(duì)金融服務(wù)公司的網(wǎng)絡(luò)安全要求?!?/p>

與此同時(shí),一名法官最近批準(zhǔn)了由Kemper保險(xiǎn)公司的原告提起的1760萬(wàn)美元的集體和解,該原告指控其違反了加州的《消費(fèi)者隱私法》,而美國(guó)證券交易委員會(huì)(SEC)已經(jīng)針對(duì)上市公司提出了新的強(qiáng)制性網(wǎng)絡(luò)安全披露規(guī)則,以及為私募股權(quán)和投資公司提供書面網(wǎng)絡(luò)政策和程序、增強(qiáng)的報(bào)告和記錄管理。

O'Meara補(bǔ)充說(shuō),最終,美國(guó)首席信息安全官需要了解其企業(yè)合同中包含的特定網(wǎng)絡(luò)安全要求,還需要了解適用于其行業(yè)和地理區(qū)域的法規(guī)和要求。

4.降低訴訟風(fēng)險(xiǎn)

Kirby表示,為了減輕和降低訴訟風(fēng)險(xiǎn),首席信息安全官必須首先檢查他們的安全計(jì)劃在嚴(yán)格審查下是否“可防御”,是否能夠改變和適應(yīng)新的威脅。他說(shuō),“例如,如果它無(wú)法解決有關(guān)其協(xié)議是否符合當(dāng)?shù)胤珊托袠I(yè)標(biāo)準(zhǔn)的問(wèn)題,那么需要迅速采取行動(dòng)解決這些問(wèn)題?!?/p>

Fawell列舉了以下五個(gè)問(wèn)題,這些問(wèn)題有助于從訴訟的角度衡量違規(guī)響應(yīng)計(jì)劃的有效性:

(1)誰(shuí)是需要聯(lián)系的主要服務(wù)提供商?

(2)內(nèi)部溝通渠道是什么?誰(shuí)要求指導(dǎo)律師和其他主要顧問(wèn)?是首席信息安全官還是需要其他高管批準(zhǔn)?

(3)如果系統(tǒng)宕機(jī),處理漏洞的關(guān)鍵人員如何安全溝通?

(4)哪種類型的違規(guī)行為最有可能對(duì)企業(yè)造成影響?誰(shuí)是最有可能受到影響的交易對(duì)手?

(5)與交易對(duì)手的合同中的數(shù)據(jù)隱私條款有什么要求?這些合同中是否有通知要求?

Fawell補(bǔ)充說(shuō),“計(jì)劃的范圍至少可以從確保上述問(wèn)題和其他問(wèn)題的答案得到考慮,并且處理違規(guī)行為的關(guān)鍵人員要知道答案,到完全模擬違規(guī)行為到壓力測(cè)試過(guò)程?!?/p>

O'Meara表示,首席信息安全官應(yīng)該能夠在需要時(shí)提供文件化的政策和程序,包括合規(guī)性文件、安全配置設(shè)置的屏幕截圖、防火墻日志、訪問(wèn)審計(jì)日志、用戶計(jì)算機(jī)系統(tǒng)和應(yīng)用程序訪問(wèn)請(qǐng)求表,以及員工安全培訓(xùn)記錄。

Armstrong建議首席信息安全官與習(xí)慣于在事件發(fā)生之前處理此類風(fēng)險(xiǎn)和訴訟的律師進(jìn)行接觸。他說(shuō),“當(dāng)確實(shí)發(fā)生了攻擊事件時(shí),重要的是不要試圖把它當(dāng)作一個(gè)孤立的事件來(lái)處理?!?/p>

同樣,O'Meara建議美國(guó)的企業(yè)與內(nèi)部法律顧問(wèn)合作,以了解訴訟風(fēng)險(xiǎn)以及相關(guān)的影響和后果。

Fawell指出,首席信息安全官熟悉企業(yè)網(wǎng)絡(luò)保險(xiǎn)政策的條款也很重要,主要是涵蓋/不涵蓋哪些內(nèi)容以及發(fā)生違規(guī)時(shí)的通知要求。他說(shuō),“保險(xiǎn)公司通常應(yīng)該是最早的聯(lián)系渠道之一。不僅確保承保范圍很重要,保險(xiǎn)公司通常也是有關(guān)如何處理某些方面違約的信息和建議的良好來(lái)源。”

此外,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須知道在違規(guī)后立即記錄哪些信息。他說(shuō),“重要的是要對(duì)所做出的決定及其原因保持清晰的審計(jì)跟蹤。然而,在處理立即具有挑戰(zhàn)性的情況時(shí),以書面形式記錄判斷錯(cuò)誤的評(píng)論(通常來(lái)自高級(jí)人員)并不少見,這在以后的法律訴訟中可能沒有幫助。尤其重要的是,每個(gè)人都要了解哪些可能在相關(guān)司法管轄區(qū)受到法律特權(quán)的保護(hù),以及哪些不會(huì)?!?/p>

Armstrong已經(jīng)看到了這種情況。他說(shuō),“特權(quán)至關(guān)重要。在通常情況下,訴訟當(dāng)事人很早就要求查看內(nèi)部備忘錄、通訊和報(bào)告。如果沒有正確設(shè)置特權(quán),可能不得不披露所有材料?!?/p>

Fawell建議,在可能的情況下,明智的做法是在關(guān)鍵人員之間召開會(huì)議,以建立清晰的溝通渠道,并確保審計(jì)追蹤準(zhǔn)確而清晰地詳細(xì)說(shuō)明響應(yīng)過(guò)程。

責(zé)任編輯:華軒 來(lái)源: 企業(yè)網(wǎng)D1Net
相關(guān)推薦

2022-04-21 15:57:54

網(wǎng)絡(luò)安全首席信息安全官訴訟

2021-10-11 14:56:41

網(wǎng)絡(luò)安全數(shù)據(jù)安全保險(xiǎn)

2024-04-01 04:05:00

首席信息安全官安全預(yù)算CISO

2022-03-29 10:33:21

首席信息官網(wǎng)絡(luò)安全

2021-12-03 09:41:20

首席信息官CIO數(shù)據(jù)安全

2022-08-04 10:14:34

首席信息安全官首席風(fēng)險(xiǎn)官

2021-09-24 09:37:04

首席信息安全官首席信息官網(wǎng)絡(luò)安全

2023-04-06 10:27:26

2020-10-20 09:23:20

網(wǎng)絡(luò)安全云計(jì)算技術(shù)

2022-02-18 13:41:51

席信息安全官網(wǎng)絡(luò)安全信息安全

2011-08-11 11:13:24

2012-10-23 16:01:52

2019-09-20 08:21:03

2022-11-07 12:21:40

2021-12-02 10:27:04

首席信息官技術(shù)發(fā)展網(wǎng)絡(luò)安全

2019-04-09 11:51:20

2021-06-16 15:30:36

物理安全網(wǎng)絡(luò)安全安全技術(shù)

2022-04-19 13:57:57

信息安全加密貨幣Web3

2024-10-10 13:18:04

2020-09-23 09:19:02

首席信息安全官企業(yè)管理層網(wǎng)絡(luò)安全
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)