訴訟的威脅足以讓任何商業(yè)領(lǐng)袖夜不能寐，數(shù)據(jù)保護、隱私和網(wǎng)絡(luò)安全立法和法規(guī)的日益普及給CISO帶來了壓力。

根據(jù)諾頓羅斯富布賴特（Norton Rose Fulbright）對250多名總法律顧問和內(nèi)部訴訟從業(yè)者的最新年度訴訟趨勢調(diào)查，網(wǎng)絡(luò)安全和數(shù)據(jù)保護將成為未來幾年新法律糾紛的首要驅(qū)動因素之一。三分之二的受訪者表示，他們在2021年更容易受到此類爭議的影響，而2020年不到一半，而更復(fù)雜的攻擊，對遠(yuǎn)程環(huán)境中員工/承包商的監(jiān)督減少以及對客戶數(shù)據(jù)量的擔(dān)憂都被認(rèn)為是緩解因素。

顯然，對于CISO及其組織來說，訴訟的風(fēng)險是非常真實的，但是最令人擔(dān)憂的領(lǐng)域是什么，他們能做些什么呢？

數(shù)據(jù)泄露引發(fā)訴訟

在過去的18個月到兩年中，組織在數(shù)據(jù)泄露后面臨訴訟的可能性顯著增加，特別是當(dāng)一家公司被認(rèn)為沒有很好地處理違規(guī)行為時，專門從事技術(shù)和合規(guī)法律事務(wù)的律師兼Cordery合伙人Jonathan Armstrong說。“現(xiàn)在發(fā)生大數(shù)據(jù)泄露事件，訴訟是一種可能性?！彼a充道。

eSentire戰(zhàn)略和企業(yè)發(fā)展副總裁Alex Jinivizian告訴CSO，雖然法律訴訟的傾向因地理位置而異，但網(wǎng)絡(luò)攻擊的持續(xù)規(guī)模導(dǎo)致政府，行業(yè)和監(jiān)管機構(gòu)對什么是安全性差的更明確的斷言，為更多的法律行動打開了大門?！耙恍┳钜俗⒛康臄?shù)據(jù)泄露事件 - Equifax，萬豪，Target，美國人事管理辦公室 - 導(dǎo)致這些公司因安全衛(wèi)生標(biāo)準(zhǔn)不佳而導(dǎo)致機密員工或客戶數(shù)據(jù)丟失的重大訴訟，”他說。

阿姆斯特朗警告說，這對企業(yè)的影響可能相當(dāng)大?！澳壳霸诓煌讣袑で蟮膿p害賠償很高。僅舉一例，TikTok在荷蘭面臨15億歐元的訴訟，其他國家（包括英國和德國）也有類似的高價值索賠。多年來，與數(shù)據(jù)相關(guān)的訴訟也一直是美國企業(yè)生活的一個特征。

首席信息安全官受到抨擊

訴訟風(fēng)險不僅限于公司。簽名訴訟律師事務(wù)所合伙人Simon Fawell表示，CISO本身也面臨著因違反職責(zé)而采取的訴訟，因為沒有采取足夠的措施來防止違規(guī)行為，或者違規(guī)行為的后果處理得很糟糕。

Jinivizian對此表示贊同：“對于大中型企業(yè)來說，CISO的角色從未如此重要，并且可能更受關(guān)注，并對安全事件和數(shù)據(jù)泄露負(fù)責(zé)，正如在2020年破壞性供應(yīng)鏈攻擊之后對SolarWinds的CISO和其他高管正在進行的集體訴訟所表明的那樣。

阿姆斯特朗補充說，對Uber的CSO的指控也證明了這一點，據(jù)稱他們試圖掩蓋與2016年攻擊有關(guān)的勒索軟件付款，該攻擊損害了數(shù)百萬用戶和司機的數(shù)據(jù)。

Fawell說，如果CISO擔(dān)任公司董事，那么他們可能會因數(shù)據(jù)和隱私泄露而面臨違反職責(zé)的股東訴訟，因為數(shù)據(jù)和隱私泄露對公司價值的損害?！霸谟蓶|對董事的訴訟一直在增加，在數(shù)據(jù)泄露導(dǎo)致股東價值下降的地方，對董事的索賠越來越多地被考慮在內(nèi)。這反映了其他司法管轄區(qū)的趨勢，例如美國，首席信息安全官已經(jīng)因違反義務(wù)而受到高調(diào)索賠。

商業(yè)秘密的丟失和聲譽受損

數(shù)據(jù)泄露或隱私訴訟的潛在后果包括巨額罰款、民事和刑事處罰、聲譽損害以及股價的不利影響。所有這些都可以單獨或組合影響組織和CISO。在丟失重要信息的地方，損害可能非常高，Signature Litigation LLP的律師Alasdair Marshall補充道。“例如，如果中介或代理人發(fā)生違規(guī)事件并丟失可能對另一家公司的聲譽造成重大損害的商業(yè)秘密或信息，這可能導(dǎo)致重大訴訟。近年來，*****和瑞士信貸事件突顯出越來越多的人尋求獲取敏感信息并將其發(fā)布到市場上。

更重要的是，為訴訟辯護可能既昂貴又耗時，馬歇爾說?！半m然英國制度允許勝訴方從失敗者那里收回法律費用，但花在法律費用和輔助費用上的金額很少被全額收回。訴訟還需要大量的CISO和董事會層面的關(guān)注，這將更有效地專注于發(fā)展和保護未來的業(yè)務(wù)。

訴訟也可能對網(wǎng)絡(luò)保險事務(wù)產(chǎn)生直接影響，影響范圍包括續(xù)保和新業(yè)務(wù)等。ForgeRock首席信息安全官Russ Kirby說，反彈最快的公司和首席信息安全官是那些將客戶放在首位的公司和首席信息安全官，他們采取一切必要措施幫助受影響的客戶將影響降至最低，并分享他們計劃采取的步驟，以確保這種情況不再發(fā)生。

法規(guī)和要求

專家們一致認(rèn)為，地理因素對于CISO及其組織面臨的訴訟風(fēng)險尤為重要。例如，F(xiàn)awell說，在最高法院對Lloyd訴谷歌案的裁決之后，英國大規(guī)模集體訴訟的威脅有所減弱，該裁決在現(xiàn)有程序框架下停止了“選擇退出”集體訴訟，并強調(diào)了根據(jù)英國規(guī)則提出大規(guī)模數(shù)據(jù)索賠的困難。“雖然該決定并未完全阻止數(shù)據(jù)隱私案件中集體訴訟的可能性，并且仍有許多索賠通過英國法院進行，這些索賠的框架不同，但仍有可能取得成功，這對索賠人來說是一個相當(dāng)重大的挫折，”他補充說。

也就是說，受數(shù)據(jù)泄露影響的個人獲得賠償?shù)膲毫υ絹碓酱螅诓痪玫膶?，看到對?shù)據(jù)隱私案件引入某種形式的選擇退出集體訴訟制度也就不足為奇了，F(xiàn)awell說。“英國已經(jīng)為競爭索賠引入了選擇退出制度，數(shù)據(jù)隱私將是類似方法的下一個合乎邏輯的領(lǐng)域。他繼續(xù)說，盡管英國大規(guī)模集體訴訟的威脅暫時有所減弱，但個人訴訟的威脅仍然非常明顯，特別是在高價值公司數(shù)據(jù)可能受到損害的情況下。“GDPR（以及相關(guān)的英國立法）提高了對數(shù)據(jù)隱私問題的認(rèn)識，并更加關(guān)注商業(yè)交易中的合同條款。

至于美國，事情可能會變得同樣甚至更加復(fù)雜，前首席信息安全官杰克·奧梅拉（Jack O'Meara）說，他是咨詢公司Guidehouse的訴訟支持服務(wù)負(fù)責(zé)人。“例如，在美國國防工業(yè)基地承包商工作的首席信息安全官需要遵守國防聯(lián)邦采購條例（DFARS）252.204-7012，以保護涵蓋國防信息和網(wǎng)絡(luò)事件報告，而在紐約金融機構(gòu)工作的首席信息安全官需要遵守紐約州金融服務(wù)部23 NYCRR 500金融服務(wù)公司的網(wǎng)絡(luò)安全要求。

與此同時，一名法官最近批準(zhǔn)了Kemper Insurance的原告提出的1760萬美元的集體和解，他們涉嫌違反加利福尼亞州的“消費者隱私法”，而美國證券交易委員會（SEC）則為上市公司提出了新的強制性網(wǎng)絡(luò)安全披露規(guī)則，以及書面網(wǎng)絡(luò)政策和程序，加強報告以及私募股權(quán)和投資公司的記錄管理。

O'Meara補充說，最終，美國CISO需要了解其公司持有的合同中包含的特定網(wǎng)絡(luò)安全要求?！霸诒疚闹杏刑嗟姆ㄒ?guī)和要求需要提及，但CISO需要了解適用于其行業(yè)和地理區(qū)域的法規(guī)和要求。

降低訴訟風(fēng)險

Kirby說，為了減輕和降低訴訟風(fēng)險，首席信息安全官必須首先檢查他們的安全計劃在嚴(yán)厲審查下是否“可防御”，并能夠改變和適應(yīng)新的威脅?！袄纾绻鼰o法經(jīng)受住有關(guān)您的協(xié)議是否遵循當(dāng)?shù)胤珊托袠I(yè)標(biāo)準(zhǔn)的問題，則需要迅速采取行動來解決這些差距。

Fawell引用了五個問題，這些問題有助于從訴訟角度衡量違規(guī)響應(yīng)計劃的有效性：

誰是主要服務(wù)提供商？

內(nèi)部溝通渠道是什么？誰來指導(dǎo)律師和其他關(guān)鍵顧問？是CISO還是需要其他批準(zhǔn)？

如果系統(tǒng)關(guān)閉，處理違規(guī)行為的關(guān)鍵人員如何安全地進行通信？

哪種類型的違規(guī)行為最有可能影響公司，誰是最有可能受到影響的交易對手？

與交易對手簽訂的合同中的數(shù)據(jù)隱私條款要求什么？這些合同中是否有通知要求？

“計劃的范圍可以從至少確保上述問題和其他問題的答案得到考慮，并且將要處理違規(guī)行為的關(guān)鍵人員知道答案，到擁有完整的模擬違規(guī)行為到壓力測試過程，”Fawell補充道。

O'Meara表示，CISO應(yīng)該能夠提供有案可稽的政策和程序，包括合規(guī)性工件，安全配置設(shè)置的屏幕截圖，防火墻日志，訪問審計日志，用戶計算機系統(tǒng)和應(yīng)用程序訪問請求表單，以及員工安全培訓(xùn)記錄。

阿姆斯壯建議首席信息安全官與習(xí)慣于在事件發(fā)生之前處理這些類型的風(fēng)險和訴訟的律師進行接觸?！爱?dāng)你確實遇到事故時，重要的是不要試圖像一個孤獨的牛仔一樣處理它，”他說。

同樣，O'Meara建議美國公司與內(nèi)部法律顧問合作，了解訴訟風(fēng)險以及相關(guān)影響和后果。

Fawell說，首席信息安全官熟悉公司網(wǎng)絡(luò)保險政策的條款也很重要 - 主要是涵蓋/不涵蓋的內(nèi)容以及發(fā)生違規(guī)行為時的通知要求?！氨ｋU公司通常應(yīng)該是最早的?？扛壑?。不僅確保保險生效很重要，保險公司通常也是如何處理違規(guī)行為某些方面的良好信息和建議來源。

此外，F(xiàn)awell繼續(xù)說，安全領(lǐng)導(dǎo)者必須小心在違規(guī)事件發(fā)生后立即記錄（和不記錄）哪些信息?！爸匾氖且獙λ龀龅臎Q定及其原因進行清晰的審計跟蹤。然而，在處理立即具有挑戰(zhàn)性的情況時，以書面形式記錄判斷錯誤的評論（通常來自高級人員）并不罕見，這在以后的法律訴訟中可能沒有幫助。特別重要的是，每個人都要了解哪些通信可能在相關(guān)司法管轄區(qū)受到法律特權(quán)的保護，哪些則不會。

阿姆斯特朗已經(jīng)看到了這一點。“權(quán)限至關(guān)重要。通常，訴訟當(dāng)事人很早就要求查看內(nèi)部備忘錄，通信和取證報告。如果您沒有正確設(shè)置權(quán)限，則可能必須披露所有材料。

Fawell建議，在可能的情況下，關(guān)鍵人員之間舉行面對面的會議是明智的，以建立明確的溝通渠道，并確保審計線索準(zhǔn)確，清楚地詳細(xì)說明響應(yīng)過程。

原文轉(zhuǎn)自csoonline，超級科技譯，合作站點轉(zhuǎn)載請注明出處和原文譯者為超級科技！

Hi，我是超級科技

超級科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！