数据泄露事故诉讼是否加重了人们的不安?(上)

最近很多企业数据泄露事故最终导致集体诉讼,并且,这些数据泄露诉讼还揭示了令人不安的趋势:现在安全问题的成本正在不断增加。

目前并没有重大数据泄露事故进入法庭受审,虽然有些仍然悬而未决,但很多其他数据泄露事故都是选择庭外和解,这给企业带来高昂的损失,所涉企业需要支付数百万美元给原告——无论是客户、员工、银行还是信用卡公司。

与所有法律和解一样,数据泄露事故和解并没有判定谁是罪魁祸首或者透露有关事件本身的实质性的细节信息。但和解费用暗示这些集体诉讼可能在不久的将来造成巨大的数据泄露成本,这涉及到泄露了什么数据、谁收到了影响以及哪些类型的信息被泄露。

无论攻击者尝试从防御很差的POS系统挖掘信用卡数据还是从有漏洞技术(例如物联网IOT)中搜寻个人身份信息(PII),数据泄露事故仍在继续发生,这些诉讼也没有显示放缓的迹象。同时,企业正在以蜗牛的速度提高安全性,防御和处理安全事故的财务费用似乎越来越高,因为数据泄露事故和解费用已经达到惊人的水平。

本文中,让我们来看看这些数据泄露事故诉讼与和解,了解为什么企业在很大程度上发现自己处在这些法律纠纷的劣势以及这对未来企业安全意味着什么。

数据泄露事故诉讼的根源

没有哪家公司可100%抵御网络犯罪分子、黑客和民族国家攻击者,即使部署适当的安全措施,企业仍然需要谨慎行事。专家表示企业必须付出很大努力来保护他们的基础设施,以及保护客户及员工数据,否则将面临严重后果。

安全风险评估公司NetDiligence总裁Dave Chatfiled表示,当涉及到信息安全时,根本没有什么保证。

“安全顾问会让企业客户采取各种安全做法,并让他们相信数据泄露的可能性会随着时间的推移而减少,”Chatfiled表示,“但我不相信会有任何安全供应商对你说,‘我们将保证你永远不会遭到泄露。’”

然而,需要注意的是,遭遇数据泄露的Target等公司自身也有过错,因为他们的信息安全部署并不足够。安全记者Brian Krebs获取了一份内部报告揭露Target公司IT系统中发现的问题,执行这个调查的Verizon安全顾问能够破解86% Target的密码,这让他们可访问内部网络。很多系统都已经过时或者没有修复安全漏洞,并且,通过利用明显的漏洞,这些安全专家可完全访问包含所有敏感数据的网络。 

在过去几年内发生的很多重大数据泄露事故都面临集体诉讼,然后庭外和解,从来没有在法庭进行审判。Chatfiled表示,这可能是因为遭遇数据泄露的公司没什么可辩论,例如Target的案件,而庭外和解可让企业快速向前发展,并可能躲过媒体的追逐。 

“多年来,我们一直在等待这种集体诉讼可进入法庭审判过程,但有很多原因让所有各方都避免这种结果,可能因为这是最不可预知的结果,”Chatfiled说道,“更有效的方法是在私下处理这些问题,而不是推上法庭。”

数据泄露事故诉讼:新的先例?

信息管理律师Matthew Nelson表示,集体诉讼数据泄露有很高的庭外和解率,这是因为原告都必须展示“他们很可能因数据泄露而受到伤害”。但一张支付卡被盗并不足以支撑一个官司,因为客户声称自己受到的伤害不能太投机。 

今年我们看到一个先例:Neiman Marcus数据泄露事故案件。在这个案件中,原告认为其财务数据被盗足以证明他们可能是受到2013年数据泄露事故的影响。最初,美国地方法院法官否决了这个诉讼,其理由是未经授权信用卡收费将会赔偿给受影响的客户,原告并没有表现出受到明显伤害或存在受伤害的风险。 

但是,在今年夏天,美国第七巡回法院法官小组推翻了这一判决,并允许Neiman Marcus数据泄露事故诉讼案继续向前推进。该小组的判决表明,这里存在“客观合理的可能性”,个人数据和财务数据被盗可能造成伤害,对欺诈性信用卡扣费的报销并不能保护原告免受其他潜在伤害,例如身份盗窃。Nelson表示,第七巡回法庭的判决对数据泄露事故诉讼可能产生重大影响。 

“该法院让这个集体诉讼案继续向前推进,因为客户不应该等到身份盗窃或信用卡盗窃发生后才让原告受到惩罚,”Nelson表示,“这些事情可能会发生,这是非常客观合理的推测。” 

在巡回法庭创下的先例可能意味着未来更多的数据泄露事故诉讼进入法庭审判—无论是客户还是员工的数据被泄露,这可能给企业带来更高的数据泄露成本。 

原文发布时间为:2016-03-04

时间: 2024-10-23 00:22:01

数据泄露事故诉讼是否加重了人们的不安?(上)的相关文章

数据泄露事故诉讼是否加重了人们的不安?(下)

数据泄露事故成本比较 如果说,未来将有更多数据泄露诉讼还不足以说明问题,企业数据泄露事故本身正变得越来越普遍.当企业疏于保护客户的个人数据,这会让网络罪犯有机可趁.但专家表示,对大型企业的有针对性攻击更难以检测和防御. "攻击者使用的技术越来越复杂,这种威胁在不断发展,"Nelson称,"例如,在我们的<互联网安全威胁报告>中,零日漏洞正处于历史高位.只要攻击者成功入侵网络,他们就可在较长时间内不被发现,这意味着他们可做更多的破坏." 此外,数据泄露诉讼

数据泄露事故诉讼是否加重了人们的不安?

最近很多企业数据泄露事故最终导致集体诉讼,并且,这些数据泄露诉讼还揭示了令人不安的趋势:现在安全问题的成本正在不断增加. 目前并没有重大数据泄露事故进入法庭受审,虽然有些仍然悬而未决,但很多其他数据泄露事故都是选择庭外和解,这给企业带来高昂的损失,所涉企业需要支付数百万美元给原告--无论是客户.员工.银行还是信用卡公司. 与所有法律和解一样,数据泄露事故和解并没有判定谁是罪魁祸首或者透露有关事件本身的实质性的细节信息.但和解费用暗示这些集体诉讼可能在不久的将来造成巨大的数据泄露成本,这涉及到泄露

数据泄露事故诉讼是否加重了人们的不安?

最近很多企业数据泄露事故最终导致集体诉讼,并且,这些数据泄露诉讼还揭示了令人不安的趋势:现在安全问题的成本正在不断增加. 目前并没有重大数据泄露事故进入法庭受审,虽然有些仍然悬而未决,但很多其他数据泄露事故都是选择庭外和解,这给企业带来高昂的损失,所涉企业需要支付数百万美元给原告--无论是客户.员工.银行还是信用卡公司. 与所有法律和解一样,数据泄露事故和解并没有判定谁是罪魁祸首或者透露有关事件本身的实质性的细节信息.但和解费用暗示这些集体诉讼可能在不久的将来造成巨大的数据泄露成本,这涉及到泄露

雅虎正式承认Verizon可能会因数据泄露事故放弃收购

雅虎首次正式提醒投资者注意,Verizon可能会因为公司在9月宣布的大规模电子邮件被黑事件而放弃48亿美元收购雅虎的交易. 雅虎在周三公布的季度文件的"风险因素"部分列出了可能会令Verizon收购交易流产的一大批风险和不确定性因素. 其中一条写道:"Verizon可能会因为与该安全事故有关的事实对股票购买协议提出或威胁提出新的主张.权利或索赔,也有可能寻求终止股票购买协议或在此基础上就出售交易的具体条款重新进行谈判." 公司必须在季度财报和年度财报中列出风险因素,

悲催的CISO:数据泄露事故的替罪羊

CISO有时候需要经过一番努力才能获得与其他高管同等的地位,但其实有些办法可让他们获得更多的尊重. 根据ThreatTrackSecurity在2014年7月进行的一项调查报告称,在受访的203名美国C级高管中,74%认为CISO"不值得在董事会拥有一席之地,不应该成为企业领导团队的一部分".这突出了这样的事实,即CISO主要被视为数据泄露事故发生时的替罪羊. 并非所有C级高管都享受平等的地位.根据CEO.执行董事会构成情况以及企业做生意的方式,C级高管的存在是为了支持业务,进行协作以

2013年四起数据泄露事故的经验教训

本文讲的是2013年四起数据泄露事故的经验教训,从很多方面来看,2013年数据泄露趋势表明安全行业状况有所好转.与过去四五年不同,2013年并没有充斥着涉及数千万个人身份信息(PII)记录泄露的事故.并且根据隐私权信息交流中心(Privacy Rights Clearinghouse)的统计数据显示,公开报道的数据泄露事故数量以及泄露信息都有所减少.去年这个时候,共有约2780万条记录被泄露,报告637起数据泄露事故.今年到目前为止,约有1060万条记录被泄露,报告483起数据泄露事故.这证明了

超90%的数据泄露事故本是可以避免的……

网络信任联盟对2014年1000多起数据泄露事故进行了分析,得出的结论是,90%的事故是可以很容易被阻止的. OTA对2014年涉及个人身份信息(PII)丢失的数据泄露事故进行了分析,结果发现,这些泄漏事故主要归结为四个原因:40%为外部入侵;29%源自员工,无论是意外还是恶意;18%因为丢失/被盗的设备或文件;还有11%是通过社会工程或欺诈. 根据OTA表示,90%的这些数据泄露事故原本可以通过加强内部控制来避免. OTA总裁兼执行董事Craig Spiezle表示:"日益增加的风险和威胁让企

你知道吗?软件修复可防止数据泄露事故

根据对318家公司安全自动化调查发现,大约80%公司遭遇的数据泄露事故或者审计失败可通过软件修复或配置更改而避免. 这次调查由研究公司Voke Media在2016年年底进行,调查发现,大约27%的公司在过去18个月遭遇审计失败,其中81%可通过修复或配置更改来避免.同样地,26%报告了数据泄露事故,其中79%可通过这两种措施来避免. 将近半数46%的公司花了超过10天时间来修复漏洞以及安装补丁.Voke公司创始人兼首席执行官Theresa Lanowitz表示,这些补丁或者配置变更积压是企业面

深挖雅虎5亿数据泄露事故

日前雅虎正式承认其遭遇史上最严重数据泄露事故,其中至少5亿用户账户数据被泄露. 雅虎数据泄露事故发生在2014年年底,不过直到"最近调查"出来时该公司才正式承认.雅虎没有提供事件的具体时间表,但FlashPoint证实最近发现2亿雅虎账户在深网出售. "在2016年8月2日,Flashpoint注意到在TheRealDeal Marketplace由'peace_of_mind'张贴的广告--出售2亿雅虎账户,"FlashPoint公司网络犯罪情报高级分析师Vita