對于CSO和CISO來說,數(shù)據(jù)泄露帶來了獨(dú)特的挑戰(zhàn),包括潛在的個人責(zé)任。雖然這種情況很少見,但CSO和CISO面臨個人責(zé)任并非完全不可能。如果能夠證明CSO或CISO行為疏忽或未能履行職責(zé),他們可能會被追究個人責(zé)任。這可能導(dǎo)致財(cái)務(wù)處罰,禁止擔(dān)任董事或高管職位,以及在極端情況下,面臨刑事指控。
例如,Uber前首席安全官因隱瞞一起重大數(shù)據(jù)泄露事件被判緩刑并需繳納重罰。該首席安全官涉及到的隱瞞行為包括支付黑客以換取其沉默,并起草虛假的不披露協(xié)議,聲稱黑客未取得或儲存任何數(shù)據(jù)。他還向公司的律師和聯(lián)邦貿(mào)易委員會隱瞞了關(guān)于泄露的信息。雖然這是一個極端的例子,但這種結(jié)果可能預(yù)示著未來數(shù)據(jù)泄露日益普遍和嚴(yán)重時的危險。
如何應(yīng)對挑戰(zhàn)并最小化風(fēng)險:
以下是我們提供的關(guān)于如何應(yīng)對挑戰(zhàn)、最小化風(fēng)險,并確保公司的行為符合法律標(biāo)準(zhǔn)和最佳實(shí)踐的指導(dǎo):
最重要的一條指導(dǎo)原則是及時且頻繁地參與法律咨詢。在你首次獲知數(shù)據(jù)泄露事件時,你應(yīng)該立即確定你的公司的法律顧問是誰,并與這些律師取得聯(lián)系。與律師的初次討論應(yīng)包括以下清單:
1.公司中誰應(yīng)被告知此索賠,誰不應(yīng)被告知,無論是否在你的公司內(nèi)。
2.這些律師是否能并將代表你及你的公司,如果不能,你應(yīng)如何尋找律師。
3.律師/客戶特權(quán)。詢問關(guān)于律師客戶特權(quán)的教育或更新。律師客戶特權(quán)是一項(xiàng)關(guān)鍵的保護(hù)措施,無論是否涉及法律行動,都必須保持,如果因泄露而采取法律行動,則尤其如此。
4.詢問關(guān)于“訴訟保留”的情況,這是一項(xiàng)來自法律顧問的指令,要求公司內(nèi)所有相關(guān)部門即使在正常商業(yè)操作中也不得銷毀文件。這一決定和指示的范圍應(yīng)由法律顧問提出,但你和其他人必須了解這一概念及其在你的情況下如何使用的具體細(xì)節(jié)。簡單來說,你的法律顧問會希望避免被指控銷毀證據(jù)。
5.如果你不是CSO或CISO,請確定這些官員是誰,并詢問法律顧問如何聯(lián)系這些人。
6.詢問需要移交給法律顧問的文件。這通常會包括索賠人提交的索賠材料,你的組織內(nèi)有關(guān)索賠的文件記錄,任何有關(guān)數(shù)據(jù)安全的政策或適用指南,以及你已經(jīng)生成或收集的任何材料。
7.準(zhǔn)備向法律顧問提供你對事件的詳細(xì)描述,以及識別任何可能涉及到所聲稱事件的其他公司控制的人員及任何支持文件。他們可以指導(dǎo)事件響應(yīng)并提供法律建議以限制組織和你個人的責(zé)任。
8.詢問法律顧問任何其他你想到的問題。如果這提高了你的關(guān)注,那么值得與法律顧問分享。
立即記錄事件
法律顧問可能會要求你記錄你所知道的關(guān)于事件的信息,并指導(dǎo)你如何做到這一點(diǎn)。雖然你應(yīng)該遵循法律顧問的指示,但所有相關(guān)細(xì)節(jié)肯定是必需的。這些信息將包括發(fā)現(xiàn)的日期和時間,違規(guī)的性質(zhì),涉及的數(shù)據(jù)類型,受影響的個人數(shù)量,采取的任何立即措施,以及任何其他能夠保存關(guān)于違規(guī)的相關(guān)事實(shí)的信息。
盡管相關(guān)信息的完整范圍可能尚未明確,你應(yīng)該選擇盡可能全面地進(jìn)行記錄。你的記錄應(yīng)盡可能接近事件發(fā)生時進(jìn)行,以便保存回憶以及可能存在于可能因任何原因離開組織的人員中的信息。這些文件對于指導(dǎo)內(nèi)部和外部調(diào)查、協(xié)助遵守監(jiān)管要求、并幫助減少潛在法律程序的影響至關(guān)重要。
CISO應(yīng)與法律團(tuán)隊(duì)密切合作
鑒于其技術(shù)專長或個人責(zé)任感,CSO和CISO可能會試圖在數(shù)據(jù)泄露事件中掌控局面。然而,這可能導(dǎo)致意外的法律復(fù)雜問題。在數(shù)據(jù)泄露發(fā)生后,讓你的組織法律顧問指導(dǎo)決策過程至關(guān)重要。他們可以確保對數(shù)據(jù)泄露的響應(yīng)符合適用法律,并且溝通和修復(fù)工作得當(dāng),以最小化潛在的責(zé)任風(fēng)險。
除了保護(hù)組織外,CSO和CISO可能還希望尋求個人法律咨詢。盡管面臨個人責(zé)任或刑事指控的情況很少見,但有時可能會成為一個真實(shí)或擔(dān)憂的風(fēng)險。獨(dú)立的法律咨詢可以提供針對你具體情況的指導(dǎo),識別你的利益可能與組織的利益不同的地方,緩解你的擔(dān)憂,所有這些都可以在律師-客戶特權(quán)下保護(hù)。
在數(shù)據(jù)泄露后,有效的溝通至關(guān)重要。法律顧問應(yīng)指導(dǎo)公共聲明的制定,確保其準(zhǔn)確、及時,并符合法律義務(wù)。請記住,提供不正確或誤導(dǎo)性信息可能會增加責(zé)任風(fēng)險。公開信息還可能對公眾對其個人財(cái)務(wù)和隱私風(fēng)險的關(guān)注產(chǎn)生積極或消極的影響。在發(fā)表任何公開聲明或與受影響方溝通之前,請先咨詢法律顧問。
數(shù)據(jù)泄露事件經(jīng)常涉及各種監(jiān)管機(jī)構(gòu)。在保護(hù)組織利益的同時,應(yīng)在法律顧問的指導(dǎo)下全面配合任何調(diào)查,以確保不會無意中增加法律責(zé)任。
事后分析同樣重要
事發(fā)后,必須審查違規(guī)原因并相應(yīng)更新安全措施。這有助于防止未來的事件發(fā)生,并展示出對安全的承諾,有助于限制責(zé)任。法律顧問應(yīng)參與此過程,以確保任何變更都符合監(jiān)管要求。
不幸的是,數(shù)據(jù)泄露事件已經(jīng)變得如此常見,以至于組織都在預(yù)測何時以及如何應(yīng)對這些事件。明智的做法是在需要之前就實(shí)施一個健全的事件響應(yīng)計(jì)劃(IRP)。如果你的組織還沒有制定響應(yīng)計(jì)劃,那么應(yīng)當(dāng)盡快制定一個。如果已有計(jì)劃,應(yīng)當(dāng)遵循執(zhí)行。遵循這一計(jì)劃可以幫助避免倉促應(yīng)對,展示出解決問題的誠意,并在面臨法律行動時提供堅(jiān)實(shí)的防御。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號