根据NortonRoseFulbright对250多名总法律顾问和内部诉讼从业人员进行的最新年度诉讼趋势调查,网络安全安全和数据保护将成为新法律的主要驱动力之一未来几年的争论。三分之二的受访者表示,他们在2021年更容易受到此类纠纷的影响,而2020年这一比例不到一半,攻击更复杂、对远程环境中的员工/承包商的监督更少以及对数据量的担忧都被认为是缓解因素。显然,诉讼风险对于CISO及其组织来说是非常真实的,但最关心的领域是什么?他们可以做些什么呢?数据泄露引发诉讼在过去的18个月到两年里,组织在数据泄露后面临诉讼的可能性显着增加,特别是当一家公司被认为没有很好地处理数据泄露事件时,专门从事技术的律师JonathanArmstrong说和合规法以及Cordery的合伙人。“随着现在发生大数据泄露,诉讼是可能的,”他补充说。eSentire战略和企业发展副总裁AlexJinivizian告诉CSO,虽然采取法律行动的倾向因地域而异,但网络攻击的持续规模已导致政府、行业和监管机构更明确地断言什么是安全性差,提供更多法律行动打开了大门。“一些最引人注目的数据泄露事件——Equifax、Marriott、Target、美国人事管理办公室——已导致这些公司因安全卫生标准不佳而导致机密员工或客户数据丢失的重大诉讼,“他说。阿姆斯特朗警告说,对企业的影响可能相当大。“目前在不同案件中寻求的赔偿金很高。仅举一个例子,TikTok在荷兰面临15亿欧元的诉讼,在其他国家(包括英国和德国)也有类似的高价值索赔。多年来,与数据有关的诉讼也一直是美国企业生活的一个特点。首席信息安全官采取消防措施以防止违规,或处理不当的违规后果。Jinivizian同意:“CISO的角色从未像现在这样重要,并且可能更加关注安全事件和数据泄露,因为在破坏性供应之后针对SolarWinds的CISO和其他高管的持续集体诉讼2020年的连锁攻击证明。阿姆斯特朗补充说,针对优步CSO的指控也证明了这一点,据称他们试图隐藏与2016年攻击相关的勒索软件付款,该攻击损害了数百万用户和司机的数据。Fawell说,如果CISO担任公司董事,那么他们可能会因违反数据和隐私侵犯义务而损害公司价值而面临股东诉讼。“在英国,针对董事的股东诉讼一直在增加,在数据泄露导致股东价值下降的情况下,针对董事的索赔越来越多地被考虑在内。这反映了其他司法管辖区的趋势,例如美国,CISO已经因违反职责而受到高调的索赔。商业秘密的丢失和声誉受损。数据泄露或隐私诉讼的潜在后果包括巨额罚款、民事和刑事处罚、声誉受损以及对股价的不利影响。所有这些都可以单独或组合影响组织和CISO。SignatureLitigationLLP的律师AlasdairMarshall补充说,如果关键信息丢失,损失可能会非常高。造成重大损害的商业秘密或信息,可能导致重大诉讼。近年来,巴拿马文件和瑞士信贷事件凸显了越来越多的人寻求获取敏感信息并将其发布到市场上。此外,马歇尔说,为诉讼辩护可能既费钱又费时。“虽然英国的制度允许胜诉方向败诉方追回法律费用,但花费在法律和辅助成本上的金额很少能全额收回。诉讼还需要CISO和董事会层面的大量关注,这将更有效地专注于增长和保护未来的业务。诉讼也会对网络保险事务产生直接影响,从续约到新业务。ForgeRock首席信息安全官RussKirby表示,反弹最快的公司和CISO是将客户放在首位的公司和CISO,正在采取一切必要措施帮助受影响的客户最大限度地减少影响并分享他们计划采取的步骤以确保这种情况不再发生。法规和要求专家一致认为地理对于CISO及其组织所面临的诉讼风险尤为重要。例如,Fawell表示,在Supreme之后,英国大规模集体诉讼的威胁已经减弱法院对Lloydv.Google的判决发生在现有的程序框架中,停止了“选择退出”集体诉讼,并强调了根据英国规则提出大规模数据索赔的难度。“虽然该决定并未完全阻止在数据隐私案件中提起集体诉讼的可能性,并且仍有许多索赔通过英国法院提出,但框架不同,但仍有可能成功,这对索赔人来说是一个相当大的挑战。一个主要挫折,”他补充道。也就是说,受数据泄露影响的个人获得赔偿的压力越来越大,在不久的将来看到针对数据隐私案件引入某种形式的选择退出集体诉讼制度也就不足为奇了,Fawell说。“英国已经引入了针对竞争性索赔的选择退出制度,数据隐私将是采用类似方法的下一个合乎逻辑的领域。”他继续说,虽然英国大规模集体诉讼的威胁暂时消退,但个人诉讼的威胁仍然非常明显,尤其是在高价值企业数据可能被泄露的情况下。”GDPR(以及相关的英国立法)提高了人们对数据隐私问题的认识,并增加了对商业交易中合同条款的关注。咨询公司Guidehouse前首席信息安全官兼诉讼支持服务主管杰克奥米拉(JackO'Meara)说,至于美国,事情可能会变得同样甚至更复杂。“例如,为美国国防工业基地的承包商工作的CISO必须遵守国防联邦采购条例(DFARS)252.204-7012以保护涵盖的国防信息和网络事件报告,而为金融机构工作的CISO纽约需要遵守纽约州金融服务部23家NYCRR500金融服务公司的网络安全要求。与此同时,一名法官最近批准了KemperInsurance原告因涉嫌违反加利福尼亚州“消费者隐私法”而达成的1760万美元的集体和解,而美国证券交易委员会(SEC)提出了针对上市公司的新强制性网络安全披露规则,以及书面的网络政策和程序,加强私募股权和投资公司的报告和记录管理。O'Meara补充说,最终,美国CISO需要了解其公司持有的合同中包含的具体网络安全要求。“有太多的法规和要求在这篇文章中提到,但CISO需要了解适用于他们的行业和地理区域的法规和要求。为了减轻和减少诉讼风险,Kirby说,CISO必须首先检查他们的安全计划在审查下是否“站得住脚”并且能够改变和适应新的威胁,柯比说。“例如,如果它不能经受有关您的协议是否符合当地法律和行业标准的质疑,它需要迅速采取行动解决这些差距。Fawell列举了五个问题,这些问题有助于从诉讼的角度衡量违规响应计划的有效性:谁是主要服务提供商?内部沟通渠道有哪些?谁指导律师和其他主要顾问?是CISO还是需要其他什么?批准?如果系统关闭,处理数据泄露的关键人员的通信安全性如何?哪种类型的违规最有可能影响公司,谁是最有可能受到影响的交易对手?来自与交易对手的合同的数据隐私条款有什么要求?这些合同中是否有通知要求?”计划的范围可以从至少确保对上述问题和其他问题的答案得到考虑,并确保将要处理违规行为的关键人员知道答案,到进行全面模拟违反压力测试流程,”Fawell补充道。CISO应该能够提供文件化的政策和程序,包括合规工件、安全配置设置的屏幕截图、防火墙日志、访问审计日志、用户计算机系统和应用程序访问请求表以及员工安全培训记录。Armstrong建议CISO在事件发生之前与习惯于处理此类风险和诉讼的律师接洽。“当你确实发生事故时,重要的是不要像一个孤独的牛仔一样去处理它,”他说。同样,O'Meara建议美国公司与内部法律顾问合作,以了解诉讼风险以及相关影响和后果。Fawell说,对于CISO来说,熟悉公司网络保险政策的条款也很重要——主要是涵盖/不涵盖的内容以及发生违规时的通知要求。“保险公司通常应该是第一个停靠港。确保保险有效不仅很重要,而且保险公司通常是信息和建议的良好来源,可提供有关如何处理违规行为某些方面的信息。此外,Fawell继续说道,安全领导者必须注意在发生违规行为后立即记录(和未记录)哪些信息。”对所做的决定及其原因进行清晰的审计跟踪非常重要。然而,在处理立即具有挑战性的情况时,书面的错误判断(通常来自高级人员)的评论并不少见,这在以后的法律诉讼中可能没有帮助。尤其重要的是,每个人都应了解哪些通信可能受相关司法管辖区的法律特权保护,哪些不受保护。阿姆斯特朗已经看到了这一点。“许可至关重要。通常,诉讼当事人会提前要求查看内部备忘录、信件和法医报告。如果您没有正确设置权限,您可能不得不披露所有材料。Fawell建议,在可能的情况下,关键人员之间举行面对面会议以建立清晰的沟通渠道并确保审计跟踪准确并清楚地详细说明响应过程是明智的。
