最近很多企业数据泄露事故最终导致集体诉讼,并且,这些数据泄露诉讼还揭示了令人不安的趋势:现在安全问题的成本正在不断增加。
目前并没有重大数据泄露事故进入法庭受审,虽然有些仍然悬而未决,但很多其他数据泄露事故都是选择庭外和解,这给企业带来高昂的损失,所涉企业需要支付数百万美元给原告——无论是客户、员工、银行还是信用卡公司。
与所有法律和解一样,数据泄露事故和解并没有判定谁是罪魁祸首或者透露有关事件本身的实质性的细节信息。但和解费用暗示这些集体诉讼可能在不久的将来造成巨大的数据泄露成本,这涉及到泄露了什么数据、谁收到了影响以及哪些类型的信息被泄露。
无论攻击者尝试从防御很差的POS系统挖掘信用卡数据还是从有漏洞技术(例如物联网IOT)中搜寻个人身份信息(PII),数据泄露事故仍在继续发生,这些诉讼也没有显示放缓的迹象。同时,企业正在以蜗牛的速度提高安全性,防御和处理安全事故的财务费用似乎越来越高,因为数据泄露事故和解费用已经达到惊人的水平。
本文中,让我们来看看这些数据泄露事故诉讼与和解,了解为什么企业在很大程度上发现自己处在这些法律纠纷的劣势以及这对未来企业安全意味着什么。
数据泄露事故诉讼的根源
没有哪家公司可100%抵御网络犯罪分子、黑客和民族国家攻击者,即使部署适当的安全措施,企业仍然需要谨慎行事。专家表示企业必须付出很大努力来保护他们的基础设施,以及保护客户及员工数据,否则将面临严重后果。
安全风险评估公司NetDiligence总裁Dave Chatfiled表示,当涉及到信息安全时,根本没有什么保证。
“安全顾问会让企业客户采取各种安全做法,并让他们相信数据泄露的可能性会随着时间的推移而减少,”Chatfiled表示,“但我不相信会有任何安全供应商对你说,‘我们将保证你永远不会遭到泄露。’”
然而,需要注意的是,遭遇数据泄露的Target等公司自身也有过错,因为他们的信息安全部署并不足够。安全记者Brian Krebs获取了一份内部报告揭露Target公司IT系统中发现的问题,执行这个调查的Verizon安全顾问能够破解86% Target的密码,这让他们可访问内部网络。很多系统都已经过时或者没有修复安全漏洞,并且,通过利用明显的漏洞,这些安全专家可完全访问包含所有敏感数据的网络。
在过去几年内发生的很多重大数据泄露事故都面临集体诉讼,然后庭外和解,从来没有在法庭进行审判。Chatfiled表示,这可能是因为遭遇数据泄露的公司没什么可辩论,例如Target的案件,而庭外和解可让企业快速向前发展,并可能躲过媒体的追逐。
“多年来,我们一直在等待这种集体诉讼可进入法庭审判过程,但有很多原因让所有各方都避免这种结果,可能因为这是最不可预知的结果,”Chatfiled说道,“更有效的方法是在私下处理这些问题,而不是推上法庭。”
数据泄露事故诉讼:新的先例?
信息管理律师Matthew Nelson表示,集体诉讼数据泄露有很高的庭外和解率,这是因为原告都必须展示“他们很可能因数据泄露而受到伤害”。但一张支付卡被盗并不足以支撑一个官司,因为客户声称自己受到的伤害不能太投机。
今年我们看到一个先例:Neiman Marcus数据泄露事故案件。在这个案件中,原告认为其财务数据被盗足以证明他们可能是受到2013年数据泄露事故的影响。最初,美国地方法院法官否决了这个诉讼,其理由是未经授权信用卡收费将会赔偿给受影响的客户,原告并没有表现出受到明显伤害或存在受伤害的风险。
但是,在今年夏天,美国第七巡回法院法官小组推翻了这一判决,并允许Neiman Marcus数据泄露事故诉讼案继续向前推进。该小组的判决表明,这里存在“客观合理的可能性”,个人数据和财务数据被盗可能造成伤害,对欺诈性信用卡扣费的报销并不能保护原告免受其他潜在伤害,例如身份盗窃。Nelson表示,第七巡回法庭的判决对数据泄露事故诉讼可能产生重大影响。
“该法院让这个集体诉讼案继续向前推进,因为客户不应该等到身份盗窃或信用卡盗窃发生后才让原告受到惩罚,”Nelson表示,“这些事情可能会发生,这是非常客观合理的推测。”
在巡回法庭创下的先例可能意味着未来更多的数据泄露事故诉讼进入法庭审判—无论是客户还是员工的数据被泄露,这可能给企业带来更高的数据泄露成本。
原文发布时间为:2016-03-04