根据NortonRose对250多名法律顾问和内部诉讼从业者的年度诉讼趋势调查,网络安全和数据保护将是未来几年新法律纠纷的主要驱动因素.三分之二的受访者表示,他们将在2021年更容易受到此类纠纷的影响,而2020年这一比例不到一半,同时更复杂的网络攻击、远程环境中对员工/承包商的威胁政府的监督减少以及对客户数量的担忧数据被引用为因素。显然,诉讼风险对于CISO和他们的企业来说是非常真实的,但他们最关心的是什么,他们能做些什么呢?1.数据泄露导致诉讼专门从事技术和合规法的律师和Cordery合伙人JonathanArmstrong表示,在过去18个月到两年中,公司面临数据泄露诉讼的可能性显着增加,尤其是当公司被视为不处理数据时违反得很好。.他补充说:“如果现在发生数据泄露,诉讼是不可避免的。”持续的规模导致政府、行业和监管机构对安全的判断更加清晰,为更多的法律行动打开了大门。“美国人事管理办公室、Equifax、万豪、Target发生了一些备受瞩目的数据泄露事件,导致这些公司因网络安全标准不佳导致机密员工或客户数据丢失而受到重大诉讼,”他说。阿姆斯特朗警告说,对企业的影响可能相当大。他说,“目前不同案件要求的赔偿金都很高。例如,TikTok在荷兰面临15亿欧元的诉讼,在其他国家也有类似的高额索赔,包括英国和德国。多年来,与数据相关的诉讼一直是美国企业面临的风险。”首席信息安全官被起诉网络安全诉讼的风险不仅限于企业,也包括个人。SignatureLitigation的合伙人SimonFawell表示,如果没有采取足够的措施来防止数据泄露,或者如果泄露的后果没有得到妥善处理,CISO自己可能会因疏忽而面临法律诉讼。Jinivizian回应了这一观点,他说:“首席信息安全官的角色对大中型企业来说从未像现在这样重要,并且可能在安全事件和数据泄露中扮演更重要的角色。在2016年毁灭性的供应链攻击之后针对SolarWinds首席信息安全官和其他高管的集体诉讼就是这方面的证据。”阿姆斯特朗补充说,优步的首席安全官据称试图掩盖与2016年攻击相关的勒索软件的范围。勒索,正如泄露数百万用户和司机数据的攻击所证明的那样。Fawell表示,如果CISO担任公司董事,他们可能会因数据和隐私泄露而面临股东违规。他说,“在英国,针对公司董事的股东诉讼一直在增加,在数据泄露导致股东偏见的案件中,越来越多地考虑对公司董事提出索赔。这反映了其他司法管辖区的趋势,例如在美国,首席信息安全官已成为备受瞩目的失职索赔对象。”2.商业秘密泄露和声誉受损数据泄露或隐私诉讼的潜在后果包括巨额罚款、民事和刑事处罚、声誉受损以及对股价的不利影响。所有这些都可能单独或组合地影响企业和CISOSignatureLitigation合伙人AlasdairMarshall补充说,如果重要信息丢失,损失可能是巨大的。“对另一家公司的声誉而言,这可能会导致重大诉讼。近年来,‘巴拿马文件’和瑞士信贷事件凸显了越来越多的人寻求获取敏感信息并将其发布到市场上。”Marshall说:“此外,为诉讼辩护可能既费钱又费时。诉讼成本在那里收回,但很少能全额支付法律费用和辅助费用。诉讼还需要CISO和董事会层面的高度重视,这将是ForgeRock首席信息安全官拉斯柯比(RussKirby)表示,诉讼也可能对网络保险事务产生直接影响,影响覆盖范围、续约和新业务等事务,从而更有效地专注于发展和保护未来业务。受诉讼影响的公司通常将客户放在首位,致力于保持透明,尽其所能帮助客户将影响降至最低,并分享他们计划采取的步骤以确保这种情况不会再次发生。3.法规和要求专家同意地理对于CISO及其组织所面临的诉讼风险尤为重要。例如,继英国最高法院在Lloydv.Google案中结束现有程序框架下的“选择退出”集体诉讼并强调根据英国法律提出大规模数据索赔的难度之后,大规模违规团体在英国,诉讼的威胁已经减弱。他补充说:“虽然这项裁决并没有完全阻止在数据隐私案件中提起集体诉讼的可能性,而且仍有许多不同的诉讼可以在英国法院获得成功,但这对原告来说是一个相当大的风险挫折。”话虽如此,随着受数据泄露影响的个人获得赔偿的压力越来越大,在相对不久的将来看到针对数据隐私案件引入某种形式的选择退出集体诉讼制度也就不足为奇了。“英国已经引入竞争性索赔的选择退出机制和数据隐私将是类似方法的下一个合乎逻辑的领域,”Fawell说,并指出虽然英国大规模集体诉讼的威胁现已消退,但个人诉讼的威胁仍然存在。非常明显,尤其是当高价值数据可能被泄露时。“英国的GDPR法规和相关立法提高了人们对数据隐私问题的认识,并更加关注商业交易中的合同条款,”他说。诉讼主管JackO咨询公司Guidehouse的支持服务和前首席信息安全官“在美国,这些事情会变得更加复杂。例如,首席信息官n在美国国防工业基地为承包商工作的安全官需要遵守国防信息和网络事件报告,而在纽约金融机构工作的CISO则需要遵守纽约州金融服务部23NYCRR500网络安全要求对于金融服务公司。”与此同时,一名法官最近批准了一项由KemperInsurance提起的1760万美元集体和解,原告指控其违反了加利福尼亚州的♂,而美国证券交易委员会(SEC)已经为上市公司提出了新的强制性网络安全披露规则,并为私募股权和投资公司提供书面网络政策和程序、增强的报告和记录管理。最后,O'Meara补充说,美国CISO需要了解其公司合同中包含的特定网络安全要求,以及适用于其行业和地理区域的法规和要求。4.降低诉讼风险为了减轻和降低诉讼风险,Kirby说,CISO必须首先检查他们的安全计划是否在严密审查下“站得住脚”,并且可以改变和适应新的威胁。“例如,如果它无法解决有关其协议是否符合当地法律和行业标准的问题,那么它需要迅速采取行动来解决这些问题,”他说。Fawell列举了以下五个问题,这些问题有助于从诉讼的角度衡量违规响应计划的有效性:(1)谁是需要联系的主要服务提供商?(2)内部沟通渠道有哪些?指导律师和其他主要顾问?是CISO还是其他高管需要批准?(3)如果系统出现故障,处理漏洞的关键人员如何安全地进行通信?(4)哪些类型的违规最有可能影响业务影响?谁最有可能受到影响?(5)与交易对手的合同中对数据隐私条款有何要求?这些合同中是否有通知要求?确保考虑到上述问题和其他问题的答案,并确保处理违规行为的关键人员知道答案,从完全模拟违规行为到对流程进行压力测试。O'Meara表示,CISO应该能够在需要时提供文件化的政策和程序,包括合规性文件、安全配置设置的屏幕截图、防火墙日志、访问审计日志、用户计算机系统和应用程序访问请求表,以及员工安全培训记录。Armstrong建议CISO与习惯于在事件发生前处理此类风险和诉讼的律师接洽。他说,“当攻击确实发生时,重要的是不要试图将其视为孤立事件。同样,O'Meara建议美国企业与内部法律顾问合作,了解诉讼风险以及相关影响和后果。Fawell指出,CISO熟悉企业网络保险政策的条款也很重要,主要是涵盖/不涵盖的内容以及发生违规时的通知要求。“保险公司通常应该是第一线接触者,”他说。不仅确保覆盖范围很重要,保险公司通常也是信息和建议的良好来源,可提供有关如何处理某些领域违约的信息。此外,网络安全负责人必须知道在发生违规行为后应立即记录哪些信息。他说:“重要的是要对做出的决定和原因保持清晰的审计跟踪。”然而,在处理立即具有挑战性的情况时,书面的错误判断(通常来自高级人员)的评论并不少见,这在以后的法律诉讼中可能没有帮助。尤其重要的是,每个人都应了解相关司法管辖区的法律特权可能保护什么,不保护什么。阿姆斯特朗已经看到了这种情况。“特权很重要,”他说。通常,诉讼当事人很早就要求查看内部备忘录、通讯和报告。如果权限设置不正确,则可能必须披露所有材料。Fawell建议,在可能的情况下,明智的做法是在关键人员之间举行会议,以建立清晰的沟通渠道,并确保审计跟踪准确、清晰地详细说明响应过程。
