Cyber-Kriege und die juristische Lehren aus dem Sony Hack (Op-Ed)
Steven Rubin und A. Jonathan Trafimow sind Partner bei Moritt Hock & Hamroff LLP. Rubin leitet der Kanzlei Patent Practice Group und Ko-Vorsitzenden der Cybersicherheit Practice Group. Trafimow leitet der Firma Beschäftigung Practice Group und Co-Vorsitzende der Cybersicherheit Practice Group. Sie trugen dieses Artikels Leben Wissenschaft Experten stimmen: Op-Ed & Einblicke.
Ziel. Home Depot. Heftklammern. Marriot. Sony. Wer kommt als nächstes? Wie neue Entwicklungen rund um die Cyber-Angriffe auf Sony Pictures Entertainment, Inc. die Nachrichten dominieren, ist es verfrüht, wie Sony gehackt wurde, wer verantwortlich war und ob Sonys Sicherheitsmaßnahmen wurden entsprechende Schlüsse ziehen – aber die rechtlichen Auswirkungen sind bereits deutlich wächst.
Am 15. Dezember 2014 klagte Rechtsanwälte Sammelklage gegen Sony beim Bundesgericht in Kalifornien. Die Beschwerde bringt Unternehmen auf Bekanntmachung über die Arten von Ansprüchen, die sie gegenüberstellen konnten, wenn ihre Systeme gehackt werden, und Schritte können sie jetzt, um sich zu schützen.
Einreichung der Klage
Absatz 2 der Beschwerde kommt gleich zur Sache:
Im Kern läuft die Geschichte von "Was ist schief gegangen" bei Sony auf zwei unentschuldbar Probleme: (1) Sony nicht seinen Computersystemen, Servern und Datenbanken ("Network"), trotz Schwächen es über seit Jahren bekannt hat, weil Sony "Unternehmen das Risiko akzeptieren" entschieden, der Verluste im Zusammenhang mit gehackt; und anschließend (2) Sony es versäumt, rechtzeitig Schutz vertraulicher Informationen der aktuellen und ehemaligen Mitarbeiter von Gesetzesbruch Hacker, die (a) diese Sicherheitslücken gefunden (b) erhaltenen vertraulichen Informationen von Sonys aktuelle und ehemalige Mitarbeiter von Sony Netzwerk gespeichert, (c) Sony gewarnt, dass es diese Informationen öffentlich verbreiten würde, und (d) wiederholt gefolgt durch Teile der Informationen, die sie behaupten, von Sonys Netzwerk über mehrere Dumps von internen Daten von Sonys Netzwerk erhalten haben öffentlich zu verbreiten.
Die Behauptung, dass Sony "eine unternehmerische Entscheidung gemacht, die Risiken zu akzeptieren" könnten gegen praktisch jedes Unternehmen in den Vereinigten Staaten erhoben werden, die keine gründliche, systematische Überprüfung seines Netzes durchlaufen hat.
Cyber-Angriffe der neuen Normalität geworden, einige Unternehmen werden anfällig für den Vorwurf, dass sie eine "unternehmerische Entscheidung" gemacht, die Risiken der gehackt wird, anstatt in verstärkten Schutz investieren zu akzeptieren.
Mögliche Rechtsansprüche sind zu zahlreich, um hier zu katalogisieren, sondern könnten: Fahrlässigkeit; Verletzung der ärztlichen Datenschutzgesetze; Verletzungen der gesetzlichen Regeln, sofern zutreffend; und bei Nichtbeachtung mit Post-Verstoß gegen Gesetze (z. B. diejenigen, die Benachrichtigung der betroffenen Mitarbeiter und/oder Kunden, die personenbezogene Daten verbreitet hatten erfordern). Noch wichtiger ist, stellen Unternehmen die Risiken der Kunden zu verlieren und haben ihren Ruf getrübt.
Vorbereitungen für den Ernstfall
So können was Unternehmen tun, um sich selbst und Verbraucher schützen?
Vor der Verletzung sollten Unternehmen entwickeln einen schriftliche Information Sicherheitsplan (WISP) und schaffen ein Netzwerk von Beziehungen mit Experten, im Falle einer mutmaßlichen Verletzung zu kontaktieren. Rechtsbeistand ist fester Bestandteil des Teams, im großen Teil wegen des Potenzials, Informationen vom Kläger mit den Anwalt Client Privileg zu schützen. Unternehmen wollen auch ihren Versicherungsbedarf ermitteln. Cyber-Sicherheit Richtlinien variieren, und Unternehmen müssen um festzustellen welche Abdeckung für sie am besten ist. [Internet "Schlüsselhalter" sind Versicherung gegen Cyber-Angriff]
Ob in gedruckter oder elektronischer, die WISP angezeigt werden soll, dass das Unternehmen: 1) identifiziert Cyber Schwachstellen; (2) diese Sicherheitsanfälligkeiten geschützt; (3) entwickelte einen Plan zu erkennen und reagieren auf Anomalien; und 4) verfügt über Verfahren zu reagieren und Wiederherstellen von Daten Sicherheitsprobleme.
Das Unternehmen muss auch geltenden gesetzlichen und regulatorischen Anforderungen, gefährdete Vermögenswerte, potenzielle Bedrohungen und ein akzeptables Risiko-Toleranz zu identifizieren. Wichtige Mitarbeiter müssen auch identifiziert und ausgebildet werden.
Interne Mitarbeiter und externe Dienstleister Notwendigkeit, Bewusstsein und Trainingsverfahren und allem, das Unternehmen unterziehen müssen eine Basiskonfiguration von der IT-Infrastruktur zum Beispiel identifizieren, müssen sie wissen, die verschiedenen Möglichkeiten, die ihre Netzwerke zugegriffen werden können und Mustern, die "typischen" oder "normal".
Mit der Infrastruktur gut verstanden, das Unternehmen muss Verfahren verfügen, um Anomalien zu erkennen — einschließlich Mitarbeiter ausstellen, ungewöhnliches Verhalten und Unregelmäßigkeiten im Netz. Wenn Anomalien festgestellt werden, ist das Unternehmen dann in der Lage zu reagieren.
Die Antwort sollte Abstimmung mit einem Cyber-Response-Team enthalten, die auf Fachwissen aus Juristen, IT-Experten und einem Cybersecurity Versicherungsträger zieht. Geschäftspartner müssen benachrichtigt werden. Forensik kann notwendig sein, alle Gefahren zu identifizieren und eventuelle Unregelmäßigkeiten müssen ausgerottet werden.
Nach Antwort kann ein Unternehmen durch Service-Provider kontaktieren, Wiederherstellung Operationen und Adressierung Öffentlichkeitsarbeit wiederherstellen. Erst dann kann das Unternehmen beginnen, seine Systeme und den Ruf wiederherzustellen.
Die Vorteile der WISP sind vielfältig. Es kann möglicherweise eine Prämie für eine Cyber-Versicherung reduzieren. Die WISP zwingt das Unternehmen überprüfen ihre Cybersecurity und zwangsläufig Verbesserungen vorzunehmen. Die WISP kann potenziell gesetzlichen Haftung beschränken, zeigt, dass nahm das Unternehmen angemessene Schritte, um seine Daten zu schützen. Als ein Nebeneffekt der WISP wird ein Marketing-Dokument, ein Unternehmen von seinen Mitbewerbern zu unterscheiden – führende Verbraucher eines Unternehmens über ein anderes auswählen, bevor Kaufentscheidungen.
Alle Experten stimmen Fragen und Debatten zu folgen – und werden Sie Teil der Diskussion – auf Facebook, Twitter und Google +. Die Meinungen sind die des Autors und spiegeln nicht unbedingt die Meinung des Herausgebers. Diese Version des Artikels erschien ursprünglich am Leben Wissenschaft.