显然,对于首席信息安全官及其企业而言,面临的诉讼风险是非常现实的,但他们最关心的问题是什么,能做些什么呢?
1.数据泄露引发诉讼
专门从事技术和合规法律事务的律师兼Cordery公司合伙人Jonathan Armstrong表示,在过去18个月到两年中,企业因数据泄露而面临诉讼的可能性显著增加,尤其是当企业被认为没有很好地处理数据泄露事件时。他补充说:“现在出现数据泄露事件的话,引发诉讼是必然的。”
eSentire公司战略和企业发展副总裁Alex Jinivizian表示,虽然法律行动的倾向由于所在的地理位置而有所不同,但网络攻击的持续规模已导致各国政府、行业和监管机构对安全性做出更明确的判断,为采取更多法律行动打开了大门。他说:“美国人事管理办公室、Equifax、Marriott、Target公司的一些引人注目的数据泄露事件导致了针对这些公司的重大诉讼,涉及网络安全标准较差导致的员工或客户的机密数据丢失。”
Armstrong警告说,这对企业来说可能是相当大的影响。他说,“目前在不同案件中寻求的损害赔偿很高。例如TikTok公司在荷兰面临15亿欧元的诉讼,其他国家也有类似的高额索赔,包括英国和德国。多年来,与数据相关的诉讼也一直是美国企业面临的风险。”
首席信息安全官受到诉讼
网络安全诉讼的风险不仅限于企业,也涉及个人。Signature Litigation公司合伙人Simon Fawell表示,如果没有采取足够的措施来防止数据泄露行为,或者违规的后果处理不当,首席信息安全官本身将面临因失职而受到法律诉讼。
Jinivizian对这一观点表示认同,他说:“首席信息安全官的角色对大中型企业来说从未像现在这样重要,而且在安全事件和数据泄露事件中可能扮演着更重要的角色,在2020年毁灭性的供应链攻击之后,针对SolarWinds公司的首席信息安全官和其他高管的集体诉讼就是明证。”
Armstrong补充说,Uber公司的首席安全官涉嫌试图掩盖与2016年攻击有关的勒索软件的赎金,此次攻击泄露了数百万名用户和司机的数据,这也证明了这一点。
Fawell表示,如果首席信息安全官担任企业董事,那么他们可能会因为数据和隐私泄露而面临股东违规行为。他说,“在英国,股东对企业董事的诉讼一直在增加,在数据泄露导致股东利益受损的情况下,越来越多地考虑对企业董事提出索赔。这反映了其他司法管辖区的趋势,例如在美国,首席信息安全官已经成为因违反职责而备受关注的索赔对象。”
2.商业秘密丢失和声誉受损
数据泄露或隐私诉讼的潜在后果包括巨额罚款、民事和刑事处罚、声誉损害以及对股价的不利影响。所有这些都可以单独或组合影响企业和首席信息安全官。Signature Litigation公司的合伙人Alasdair Marshall补充说,如果丢失了重要信息,损失可能会非常大。他说,“例如,如果中间人或代理人发生违规事件并丢失重要信息,可能对另一家公司的声誉造成严重损害的商业机密或信息,这可能会导致重大诉讼。近年来,‘巴拿马文件’和瑞士信贷事件凸显了越来越多的个人寻求获取敏感信息并将其发布到市场上。”
Marshall说,“此外,为诉讼辩护可能既昂贵又耗时。虽然英国的制度允许胜诉方从败诉方那里收回诉讼费用,但很少会全额收回用于法律费用和辅助费用的金额。诉讼还需要首席信息安全官和董事会层面的高度关注,这将更有成效地专注于发展和保护未来的业务。”
ForgeRock公司首席信息安全官Russ Kirby表示,诉讼也可能对网络保险事项产生直接影响,影响保险、续约和新业务等事项。而不会受到诉讼影响的公司和首席信息安全官通常将客户放在首位,他们致力保持透明,尽一切努力帮助客户将影响降至最低,并分享他们计划采取的步骤以确保不会再次发生这种情况。
3.法规和要求
专家一致认为,地理因素对于首席信息安全官及其企业面临的诉讼风险尤为重要。例如,英国最高法院在Lloyd诉谷歌案中做出裁决,终止了现有程序框架下的“选择退出”集体诉讼,并强调了根据英国法律提起大规模数据索赔的困难,之后,大规模违规群体诉讼的威胁在英国有所减少。他补充说:“虽然这项裁决没有完全阻止在数据隐私案件中提起集体诉讼的可能性,而且英国法院仍有许多不同的诉讼可能会取得成功,但这对索赔者来说是一个相当大的挫折。”
话虽如此,受数据泄露影响的个人获得赔偿的压力越来越大,在相对不久的将来看到针对数据隐私案件引入某种形式的选择退出集体诉讼制度也就不足为奇了。Fawell说,“英国已经针对竞争主张引入了退出机制,数据隐私将是类似方法的下一个合乎逻辑的领域。”他指出,尽管目前英国大规模集体诉讼的威胁已经减弱,但个人诉讼的威胁仍然非常明显,尤其是在高价值的数据可能受到损害的情况下。他说,“GDPR法规和英国相关的立法提高了人们对数据隐私问题的认识,并更加关注商业交易中的合同条款。”
咨询机构Guidehouse公司的诉讼支持服务负责人、前首席信息安全官Jack O'Meara说,“就美国而言,这些事情可能会变得更加复杂。例如,在美国国防工业基地承包商工作的首席信息安全官需要遵守美国国防采购条例(DFARS)252.204-7012保护涵盖的国防信息和网络事件报告,而在纽约金融机构工作的首席信息安全官需要遵守纽约州金融服务部23NYCRR500对金融服务公司的网络安全要求。”
与此同时,一名法官最近批准了由Kemper保险公司的原告提起的1760万美元的集体和解,该原告指控其违反了加州的《消费者隐私法》,而美国证券交易委员会(SEC)已经针对上市公司提出了新的强制性网络安全披露规则,以及为私募股权和投资公司提供书面网络政策和程序、增强的报告和记录管理。
O'Meara补充说,最终,美国首席信息安全官需要了解其企业合同中包含的特定网络安全要求,还需要了解适用于其行业和地理区域的法规和要求。
4.降低诉讼风险
Kirby表示,为了减轻和降低诉讼风险,首席信息安全官必须首先检查他们的安全计划在严格审查下是否“可防御”,是否能够改变和适应新的威胁。他说,“例如,如果它无法解决有关其协议是否符合当地法律和行业标准的问题,那么需要迅速采取行动解决这些问题。”
Fawell列举了以下五个问题,这些问题有助于从诉讼的角度衡量违规响应计划的有效性:
(1)谁是需要联系的主要服务提供商?
(2)内部沟通渠道是什么?谁要求指导律师和其他主要顾问?是首席信息安全官还是需要其他高管批准?
(3)如果系统宕机,处理漏洞的关键人员如何安全沟通?
(4)哪种类型的违规行为最有可能对企业造成影响?谁是最有可能受到影响的交易对手?
(5)与交易对手的合同中的数据隐私条款有什么要求?这些合同中是否有通知要求?
Fawell补充说,“计划的范围至少可以从确保上述问题和其他问题的答案得到考虑,并且处理违规行为的关键人员要知道答案,到完全模拟违规行为到压力测试过程。”
O'Meara表示,首席信息安全官应该能够在需要时提供文件化的政策和程序,包括合规性文件、安全配置设置的屏幕截图、防火墙日志、访问审计日志、用户计算机系统和应用程序访问请求表,以及员工安全培训记录。
Armstrong建议首席信息安全官与习惯于在事件发生之前处理此类风险和诉讼的律师进行接触。他说,“当确实发生了攻击事件时,重要的是不要试图把它当作一个孤立的事件来处理。”
同样,O'Meara建议美国的企业与内部法律顾问合作,以了解诉讼风险以及相关的影响和后果。
Fawell指出,首席信息安全官熟悉企业网络保险政策的条款也很重要,主要是涵盖/不涵盖哪些内容以及发生违规时的通知要求。他说,“保险公司通常应该是最早的联系渠道之一。不仅确保承保范围很重要,保险公司通常也是有关如何处理某些方面违约的信息和建议的良好来源。”
此外,网络安全领导者必须知道在违规后立即记录哪些信息。他说,“重要的是要对所做出的决定及其原因保持清晰的审计跟踪。然而,在处理立即具有挑战性的情况时,以书面形式记录判断错误的评论(通常来自高级人员)并不少见,这在以后的法律诉讼中可能没有帮助。尤其重要的是,每个人都要了解哪些可能在相关司法管辖区受到法律特权的保护,以及哪些不会。”
Armstrong已经看到了这种情况。他说,“特权至关重要。在通常情况下,诉讼当事人很早就要求查看内部备忘录、通讯和报告。如果没有正确设置特权,可能不得不披露所有材料。”
Fawell建议,在可能的情况下,明智的做法是在关键人员之间召开会议,以建立清晰的沟通渠道,并确保审计追踪准确而清晰地详细说明响应过程。