根據(jù)諾頓羅斯富布賴特(Norton Rose Fulbright)對(duì)250多名總法律顧問(wèn)和內(nèi)部訴訟從業(yè)者的最新年度訴訟趨勢(shì)調(diào)查，網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)將成為未來(lái)幾年新法律糾紛的首要驅(qū)動(dòng)因素之一。三分之二的受訪者表示，他們?cè)?021年更容易受到此類爭(zhēng)議的影響，而2020年不到一半，而更復(fù)雜的攻擊，對(duì)遠(yuǎn)程環(huán)境中員工/承包商的監(jiān)督減少以及對(duì)客戶數(shù)據(jù)量的擔(dān)憂都被認(rèn)為是緩解因素。

顯然，對(duì)于CISO及其組織來(lái)說(shuō)，訴訟的風(fēng)險(xiǎn)是非常真實(shí)的，但是最令人擔(dān)憂的領(lǐng)域是什么，他們能做些什么呢?

數(shù)據(jù)泄露引發(fā)訴訟

在過(guò)去的18個(gè)月到兩年中，組織在數(shù)據(jù)泄露后面臨訴訟的可能性顯著增加，特別是當(dāng)一家公司被認(rèn)為沒(méi)有很好地處理違規(guī)行為時(shí)，專門從事技術(shù)和合規(guī)法律事務(wù)的律師兼Cordery合伙人Jonathan Armstrong說(shuō)。“現(xiàn)在發(fā)生大數(shù)據(jù)泄露事件，訴訟是一種可能性?！彼a(bǔ)充道。

eSentire戰(zhàn)略和企業(yè)發(fā)展副總裁Alex Jinivizian告訴CSO，雖然法律訴訟的傾向因地理位置而異，但網(wǎng)絡(luò)攻擊的持續(xù)規(guī)模導(dǎo)致政府，行業(yè)和監(jiān)管機(jī)構(gòu)對(duì)什么是安全性差的更明確的斷言，為更多的法律行動(dòng)打開(kāi)了大門?！耙恍┳钜俗⒛康臄?shù)據(jù)泄露事件 - Equifax，萬(wàn)豪，Target，美國(guó)人事管理辦公室 - 導(dǎo)致這些公司因安全衛(wèi)生標(biāo)準(zhǔn)不佳而導(dǎo)致機(jī)密員工或客戶數(shù)據(jù)丟失的重大訴訟，”他說(shuō)。

阿姆斯特朗警告說(shuō)，這對(duì)企業(yè)的影響可能相當(dāng)大?！澳壳霸诓煌讣袑で蟮膿p害賠償很高。僅舉一例，TikTok在荷蘭面臨15億歐元的訴訟，其他國(guó)家(包括英國(guó)和德國(guó))也有類似的高價(jià)值索賠。多年來(lái)，與數(shù)據(jù)相關(guān)的訴訟也一直是美國(guó)企業(yè)生活的一個(gè)特征。

首席信息安全官受到抨擊

訴訟風(fēng)險(xiǎn)不僅限于公司。簽名訴訟律師事務(wù)所合伙人Simon Fawell表示，CISO本身也面臨著因違反職責(zé)而采取的訴訟，因?yàn)闆](méi)有采取足夠的措施來(lái)防止違規(guī)行為，或者違規(guī)行為的后果處理得很糟糕。

Jinivizian對(duì)此表示贊同：“對(duì)于大中型企業(yè)來(lái)說(shuō)，CISO的角色從未如此重要，并且可能更受關(guān)注，并對(duì)安全事件和數(shù)據(jù)泄露負(fù)責(zé)，正如在2020年破壞性供應(yīng)鏈攻擊之后對(duì)SolarWinds的CISO和其他高管正在進(jìn)行的集體訴訟所表明的那樣。

阿姆斯特朗補(bǔ)充說(shuō)，對(duì)Uber的CSO的指控也證明了這一點(diǎn)，據(jù)稱他們?cè)噲D掩蓋與2016年攻擊有關(guān)的勒索軟件付款，該攻擊損害了數(shù)百萬(wàn)用戶和司機(jī)的數(shù)據(jù)。

Fawell說(shuō)，如果CISO擔(dān)任公司董事，那么他們可能會(huì)因數(shù)據(jù)和隱私泄露而面臨違反職責(zé)的股東訴訟，因?yàn)閿?shù)據(jù)和隱私泄露對(duì)公司價(jià)值的損害?！霸谟?guó)，股東對(duì)董事的訴訟一直在增加，在數(shù)據(jù)泄露導(dǎo)致股東價(jià)值下降的地方，對(duì)董事的索賠越來(lái)越多地被考慮在內(nèi)。這反映了其他司法管轄區(qū)的趨勢(shì)，例如美國(guó)，首席信息安全官已經(jīng)因違反義務(wù)而受到高調(diào)索賠。

商業(yè)秘密的丟失和聲譽(yù)受損

數(shù)據(jù)泄露或隱私訴訟的潛在后果包括巨額罰款、民事和刑事處罰、聲譽(yù)損害以及股價(jià)的不利影響。所有這些都可以單獨(dú)或組合影響組織和CISO。在丟失重要信息的地方，損害可能非常高，Signature Litigation LLP的律師Alasdair Marshall補(bǔ)充道。“例如，如果中介或代理人發(fā)生違規(guī)事件并丟失可能對(duì)另一家公司的聲譽(yù)造成重大損害的商業(yè)秘密或信息，這可能導(dǎo)致重大訴訟。近年來(lái)，巴拿馬文件和瑞士信貸事件突顯出越來(lái)越多的人尋求獲取敏感信息并將其發(fā)布到市場(chǎng)上。

更重要的是，為訴訟辯護(hù)可能既昂貴又耗時(shí)，馬歇爾說(shuō)?！半m然英國(guó)制度允許勝訴方從失敗者那里收回法律費(fèi)用，但花在法律費(fèi)用和輔助費(fèi)用上的金額很少被全額收回。訴訟還需要大量的CISO和董事會(huì)層面的關(guān)注，這將更有效地專注于發(fā)展和保護(hù)未來(lái)的業(yè)務(wù)。

訴訟也可能對(duì)網(wǎng)絡(luò)保險(xiǎn)事務(wù)產(chǎn)生直接影響，影響范圍包括續(xù)保和新業(yè)務(wù)等。ForgeRock首席信息安全官Russ Kirby說(shuō)，反彈最快的公司和首席信息安全官是那些將客戶放在首位的公司和首席信息安全官，他們采取一切必要措施幫助受影響的客戶將影響降至最低，并分享他們計(jì)劃采取的步驟，以確保這種情況不再發(fā)生。

法規(guī)和要求

專家們一致認(rèn)為，地理因素對(duì)于CISO及其組織面臨的訴訟風(fēng)險(xiǎn)尤為重要。例如，F(xiàn)awell說(shuō)，在最高法院對(duì)Lloyd訴谷歌案的裁決之后，英國(guó)大規(guī)模集體訴訟的威脅有所減弱，該裁決在現(xiàn)有程序框架下停止了“選擇退出”集體訴訟，并強(qiáng)調(diào)了根據(jù)英國(guó)規(guī)則提出大規(guī)模數(shù)據(jù)索賠的困難。“雖然該決定并未完全阻止數(shù)據(jù)隱私案件中集體訴訟的可能性，并且仍有許多索賠通過(guò)英國(guó)法院進(jìn)行，這些索賠的框架不同，但仍有可能取得成功，這對(duì)索賠人來(lái)說(shuō)是一個(gè)相當(dāng)重大的挫折，”他補(bǔ)充說(shuō)。

也就是說(shuō)，受數(shù)據(jù)泄露影響的個(gè)人獲得賠償?shù)膲毫υ絹?lái)越大，在不久的將來(lái)，看到對(duì)數(shù)據(jù)隱私案件引入某種形式的選擇退出集體訴訟制度也就不足為奇了，F(xiàn)awell說(shuō)。“英國(guó)已經(jīng)為競(jìng)爭(zhēng)索賠引入了選擇退出制度，數(shù)據(jù)隱私將是類似方法的下一個(gè)合乎邏輯的領(lǐng)域。他繼續(xù)說(shuō)，盡管英國(guó)大規(guī)模集體訴訟的威脅暫時(shí)有所減弱，但個(gè)人訴訟的威脅仍然非常明顯，特別是在高價(jià)值公司數(shù)據(jù)可能受到損害的情況下?！癎DPR(以及相關(guān)的英國(guó)立法)提高了對(duì)數(shù)據(jù)隱私問(wèn)題的認(rèn)識(shí)，并更加關(guān)注商業(yè)交易中的合同條款。

至于美國(guó)，事情可能會(huì)變得同樣甚至更加復(fù)雜，前首席信息安全官杰克·奧梅拉(Jack O'Meara)說(shuō)，他是咨詢公司Guidehouse的訴訟支持服務(wù)負(fù)責(zé)人?！袄?，在美國(guó)國(guó)防工業(yè)基地承包商工作的首席信息安全官需要遵守國(guó)防聯(lián)邦采購(gòu)條例(DFARS)252.204-7012，以保護(hù)涵蓋國(guó)防信息和網(wǎng)絡(luò)事件報(bào)告，而在紐約金融機(jī)構(gòu)工作的首席信息安全官需要遵守紐約州金融服務(wù)部23 NYCRR 500金融服務(wù)公司的網(wǎng)絡(luò)安全要求。

與此同時(shí)，一名法官最近批準(zhǔn)了Kemper Insurance的原告提出的1760萬(wàn)美元的集體和解，他們涉嫌違反加利福尼亞州的“消費(fèi)者隱私法”，而美國(guó)證券交易委員會(huì)(SEC)則為上市公司提出了新的強(qiáng)制性網(wǎng)絡(luò)安全披露規(guī)則，以及書(shū)面網(wǎng)絡(luò)政策和程序，加強(qiáng)報(bào)告以及私募股權(quán)和投資公司的記錄管理。

O'Meara補(bǔ)充說(shuō)，最終，美國(guó)CISO需要了解其公司持有的合同中包含的特定網(wǎng)絡(luò)安全要求?！霸诒疚闹杏刑嗟姆ㄒ?guī)和要求需要提及，但CISO需要了解適用于其行業(yè)和地理區(qū)域的法規(guī)和要求。

降低訴訟風(fēng)險(xiǎn)

Kirby說(shuō)，為了減輕和降低訴訟風(fēng)險(xiǎn)，首席信息安全官必須首先檢查他們的安全計(jì)劃在嚴(yán)厲審查下是否“可防御”，并能夠改變和適應(yīng)新的威脅?！袄?，如果它無(wú)法經(jīng)受住有關(guān)您的協(xié)議是否遵循當(dāng)?shù)胤珊托袠I(yè)標(biāo)準(zhǔn)的問(wèn)題，則需要迅速采取行動(dòng)來(lái)解決這些差距。

Fawell引用了五個(gè)問(wèn)題，這些問(wèn)題有助于從訴訟角度衡量違規(guī)響應(yīng)計(jì)劃的有效性：

誰(shuí)是主要服務(wù)提供商?

內(nèi)部溝通渠道是什么?誰(shuí)來(lái)指導(dǎo)律師和其他關(guān)鍵顧問(wèn)?是CISO還是需要其他批準(zhǔn)?

如果系統(tǒng)關(guān)閉，處理違規(guī)行為的關(guān)鍵人員如何安全地進(jìn)行通信?

哪種類型的違規(guī)行為最有可能影響公司，誰(shuí)是最有可能受到影響的交易對(duì)手?

與交易對(duì)手簽訂的合同中的數(shù)據(jù)隱私條款要求什么?這些合同中是否有通知要求?

“計(jì)劃的范圍可以從至少確保上述問(wèn)題和其他問(wèn)題的答案得到考慮，并且將要處理違規(guī)行為的關(guān)鍵人員知道答案，到擁有完整的模擬違規(guī)行為到壓力測(cè)試過(guò)程，”Fawell補(bǔ)充道。

O'Meara表示，CISO應(yīng)該能夠提供有案可稽的政策和程序，包括合規(guī)性工件，安全配置設(shè)置的屏幕截圖，防火墻日志，訪問(wèn)審計(jì)日志，用戶計(jì)算機(jī)系統(tǒng)和應(yīng)用程序訪問(wèn)請(qǐng)求表單，以及員工安全培訓(xùn)記錄。

阿姆斯壯建議首席信息安全官與習(xí)慣于在事件發(fā)生之前處理這些類型的風(fēng)險(xiǎn)和訴訟的律師進(jìn)行接觸?！爱?dāng)你確實(shí)遇到事故時(shí)，重要的是不要試圖像一個(gè)孤獨(dú)的牛仔一樣處理它，”他說(shuō)。

同樣，O'Meara建議美國(guó)公司與內(nèi)部法律顧問(wèn)合作，了解訴訟風(fēng)險(xiǎn)以及相關(guān)影響和后果。

Fawell說(shuō)，首席信息安全官熟悉公司網(wǎng)絡(luò)保險(xiǎn)政策的條款也很重要 - 主要是涵蓋/不涵蓋的內(nèi)容以及發(fā)生違規(guī)行為時(shí)的通知要求?！氨ｋU(xiǎn)公司通常應(yīng)該是最早的停靠港之一。不僅確保保險(xiǎn)生效很重要，保險(xiǎn)公司通常也是如何處理違規(guī)行為某些方面的良好信息和建議來(lái)源。

此外，F(xiàn)awell繼續(xù)說(shuō)，安全領(lǐng)導(dǎo)者必須小心在違規(guī)事件發(fā)生后立即記錄(和不記錄)哪些信息。“重要的是要對(duì)所做出的決定及其原因進(jìn)行清晰的審計(jì)跟蹤。然而，在處理立即具有挑戰(zhàn)性的情況時(shí)，以書(shū)面形式記錄判斷錯(cuò)誤的評(píng)論(通常來(lái)自高級(jí)人員)并不罕見(jiàn)，這在以后的法律訴訟中可能沒(méi)有幫助。特別重要的是，每個(gè)人都要了解哪些通信可能在相關(guān)司法管轄區(qū)受到法律特權(quán)的保護(hù)，哪些則不會(huì)。

阿姆斯特朗已經(jīng)看到了這一點(diǎn)。“權(quán)限至關(guān)重要。通常，訴訟當(dāng)事人很早就要求查看內(nèi)部備忘錄，通信和取證報(bào)告。如果您沒(méi)有正確設(shè)置權(quán)限，則可能必須披露所有材料。

Fawell建議，在可能的情況下，關(guān)鍵人員之間舉行面對(duì)面的會(huì)議是明智的，以建立明確的溝通渠道，并確保審計(jì)線索準(zhǔn)確，清楚地詳細(xì)說(shuō)明響應(yīng)過(guò)程。