最近很多企業數據泄露事故最終導致集體訴訟,并且,這些數據泄露訴訟還揭示了令人不安的趨勢:現在安全問題的成本正在不斷增加。
目前并沒有重大數據泄露事故進入法庭受審,雖然有些仍然懸而未決,但很多其他數據泄露事故都是選擇庭外和解,這給企業帶來高昂的損失,所涉企業需要支付數百萬美元給原告——無論是客戶、員工、銀行還是信用卡公司。
與所有法律和解一樣,數據泄露事故和解并沒有判定誰是罪魁禍首或者透露有關事件本身的實質性的細節信息。但和解費用暗示這些集體訴訟可能在不久的將來造成巨大的數據泄露成本,這涉及到泄露了什么數據、誰收到了影響以及哪些類型的信息被泄露。
無論攻擊者嘗試從防御很差的POS系統挖掘信用卡數據還是從有漏洞技術(例如物聯網IOT)中搜尋個人身份信息(PII),數據泄露事故仍在繼續發生,這些訴訟也沒有顯示放緩的跡象。同時,企業正在以蝸牛的速度提高安全性,防御和處理安全事故的財務費用似乎越來越高,因為數據泄露事故和解費用已經達到驚人的水平。
本文中,讓我們來看看這些數據泄露事故訴訟與和解,了解為什么企業在很大程度上發現自己處在這些法律糾紛的劣勢以及這對未來企業安全意味著什么。
數據泄露事故訴訟的根源
沒有哪家公司可100%抵御網絡犯罪分子、黑客和民族國家攻擊者,即使部署適當的安全措施,企業仍然需要謹慎行事。專家表示企業必須付出很大努力來保護他們的基礎設施,以及保護客戶及員工數據,否則將面臨嚴重后果。
安全風險評估公司NetDiligence總裁Dave Chatfiled表示,當涉及到信息安全時,根本沒有什么保證。
“安全顧問會讓企業客戶采取各種安全做法,并讓他們相信數據泄露的可能性會隨著時間的推移而減少,”Chatfiled表示,“但我不相信會有任何安全供應商對你說,‘我們將保證你永遠不會遭到泄露。’”
然而,需要注意的是,遭遇數據泄露的Target等公司自身也有過錯,因為他們的信息安全部署并不足夠。安全記者Brian Krebs獲取了一份內部報告揭露Target公司IT系統中發現的問題,執行這個調查的Verizon安全顧問能夠破解86% Target的密碼,這讓他們可訪問內部網絡。很多系統都已經過時或者沒有修復安全漏洞,并且,通過利用明顯的漏洞,這些安全專家可完全訪問包含所有敏感數據的網絡。
在過去幾年內發生的很多重大數據泄露事故都面臨集體訴訟,然后庭外和解,從來沒有在法庭進行審判。Chatfiled表示,這可能是因為遭遇數據泄露的公司沒什么可辯論,例如Target的案件,而庭外和解可讓企業快速向前發展,并可能躲過媒體的追逐。
“多年來,我們一直在等待這種集體訴訟可進入法庭審判過程,但有很多原因讓所有各方都避免這種結果,可能因為這是最不可預知的結果,”Chatfiled說道,“更有效的方法是在私下處理這些問題,而不是推上法庭。”
數據泄露事故訴訟:新的先例?
信息管理律師Matthew Nelson表示,集體訴訟數據泄露有很高的庭外和解率,這是因為原告都必須展示“他們很可能因數據泄露而受到傷害”。但一張支付卡被盜并不足以支撐一個官司,因為客戶聲稱自己受到的傷害不能太投機。
今年我們看到一個先例:Neiman Marcus數據泄露事故案件。在這個案件中,原告認為其財務數據被盜足以證明他們可能是受到2013年數據泄露事故的影響。最初,美國地方法院法官否決了這個訴訟,其理由是未經授權信用卡收費將會賠償給受影響的客戶,原告并沒有表現出受到明顯傷害或存在受傷害的風險。
但是,在今年夏天,美國第七巡回法院法官小組推翻了這一判決,并允許Neiman Marcus數據泄露事故訴訟案繼續向前推進。該小組的判決表明,這里存在“客觀合理的可能性”,個人數據和財務數據被盜可能造成傷害,對欺詐性信用卡扣費的報銷并不能保護原告免受其他潛在傷害,例如身份盜竊。Nelson表示,第七巡回法庭的判決對數據泄露事故訴訟可能產生重大影響。
“該法院讓這個集體訴訟案繼續向前推進,因為客戶不應該等到身份盜竊或信用卡盜竊發生后才讓原告受到懲罰,”Nelson表示,“這些事情可能會發生,這是非常客觀合理的推測。”
在巡回法庭創下的先例可能意味著未來更多的數據泄露事故訴訟進入法庭審判—無論是客戶還是員工的數據被泄露,這可能給企業帶來更高的數據泄露成本。
京公網安備 11010502049343號