Иски о нарушении данных: каковы юридические последствия?

Опубликовано: 2022-11-07

По данным Ресурсного центра по краже личных данных (ITRC), в 2021 году было зарегистрировано около 1862 случаев утечки данных. Это число указывает на рост нарушений на 68%, что становится серьезной проблемой для клиентов, клиентов и других заинтересованных сторон.

К сожалению, на этом потери не заканчиваются. 34% таких случаев связаны с привлечением корпоративного персонала. А предполагаемая стоимость мега-взлома на 2021 год достигла отметки в 401 миллион долларов.

Учитывая эти цифры, неудивительно, что компании сталкиваются с судебными исками об утечке данных с угрожающей частотой.

Заинтересованные стороны часто доверяют организации защиту конфиденциальной информации путем принятия необходимых превентивных мер. Несмотря на это, внутренние субъекты и злоумышленники пытаются подорвать репутацию и доверие к компании путем компрометации данных.

Пока вы читаете эту статью, вполне вероятно, что ваша организация столкнулась с таким инцидентом. Если это так, продолжайте читать, чтобы узнать юридические последствия нарушения.

Содержание

  • 1 юридическое определение утечки данных
  • 2 Что такое государственные правила в случае нарушения?
  • 3 Что такое федеральные правила в случае их нарушения?
  • 4 Что делать корпорации?
  • 5 немедленных шагов, которые компания должна предпринять после утечки данных
    • 5.1 1. Подтверждение нарушения
    • 5.2 2. Определите, какая информация украдена
    • 5.3 3. Защитите учетные данные
    • 5.4 4. Информировать власти
    • 5.5 5. Наймите юриста
  • 6 Подводя итог

Юридическое определение утечки данных

Юридическое определение утечки данных

Прежде чем перейти к юридическим последствиям кражи информации, давайте узнаем, как закон определяет это действие:

«Незаконное и несанкционированное получение личной информации, которое ставит под угрозу безопасность, конфиденциальность или целостность личной информации».

Обычно целевая информация в нарушении включает в себя:

  • Персональные данные
  • Деловые записи
  • Медицинские записи о состоянии здоровья

Также следует отметить, что многие законодательные нормы разделяют общую идею о том, что если конфиденциальные данные зашифрованы, взлома не произойдет. Для бизнеса шифрование рассматривается как «тихая гавань». К сожалению, многие корпорации по-прежнему часто игнорируют шифрование PII (личной информации).

Тем не менее, фирмы, которые становятся целью хакеров, сталкиваются с рядом серьезных проблем, таких как высокие государственные штрафы, судебные издержки, расходы на обнаружение электронных данных, судебные издержки и обесценивание бренда. Эта ответственность возрастает, если организации имеют доступ к PII.

Каковы государственные правила в случае их нарушения?

Правила в случае нарушения

В большинстве юрисдикций действуют законы о нарушении уведомлений. Он требует, чтобы предприятия как можно быстрее уведомляли все затронутые заинтересованные стороны об инциденте.

В нем также указывается, что предприятия за пределами штата, которые владеют личной информацией своих граждан, также должны соблюдать правила уведомления о нарушениях. Это связано с тем, что во время судебного процесса каждое нарушение записи может привести к штрафным санкциям.

Каковы федеральные правила в случае их нарушения?

Федеральные правила в случае нарушения

Федеральное правительство соблюдает общенациональный закон об утечке данных. Он включает в себя Закон о безопасности данных и уведомлении о нарушениях, который обязывает предприятия уведомлять клиентов о нарушениях в течение 30 дней. Знайте, что законопроект добавляет наказание, и если кто-то «намеренно и умышленно» скрывает утечку данных, он может провести до пяти лет в тюрьме.

Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Закон Грэмма-Лича-Блайли (GLBA) являются двумя наиболее известными федеральными нормами, требующими уведомления о нарушениях. HIPAA нацелен на поставщиков медицинских услуг, медицинских страховщиков, кабинеты врачей и любой другой бизнес, который обрабатывает информацию о пациентах, тогда как GLBA нацелен на финансовые аспекты мошенничества.

Что должна делать корпорация?

внедрение кибербезопасности

Независимо от того, кто виноват во взломе — внутренние деятели или профессиональные хакеры, ответственность за инцидент будет нести компания. Это будет классифицироваться как беловоротничковая преступность. Это связано с тем, что безопасность конфиденциальной информации путем внедрения мер кибербезопасности является обязанностью корпораций.

В зависимости от серьезности правонарушения в нем могут участвовать или не участвовать Федеральное бюро расследований (ФБР), Комиссия по ценным бумагам и биржам (SEC) и Национальная ассоциация дилеров по ценным бумагам (NASD).

Тем не менее, было бы лучше нанять адвоката по уголовным делам, специализирующегося на преступлениях белых воротничков. Они могут рассказать вам о законах и правилах, связанных с делом, и собрать доказательства для вашей защиты.

Несомненно, дела, связанные с кражей личных данных и информации, сложны. Однако адвокат может помочь в расследовании, перекрестном допросе, вступительных и заключительных заявлениях.

Их знания и опыт в предметной области помогут снизить штрафы. Они могут найти доказательства того, что корпоративная конфиденциальная информация также украдена вместе с личной информацией, чтобы установить непричастность организации к делу.

Немедленные шаги, которые компания должна предпринять после утечки данных

компания по кибербезопасности

1. Подтвердите нарушение

Прежде всего, вам нужно убедиться, что взлом действительно произошел, а не просто поддельные новости. В некоторых ситуациях вы можете получить фишинговое письмо с информативной ссылкой, ведущей к взлому. Поэтому вы должны быть бдительными, когда имеете дело с такими новостями. Прежде чем предпринимать дальнейшие действия, свяжитесь с советом директоров и высшим руководством, чтобы подтвердить информацию.

Если вы получили электронное письмо, не переходите по ссылке, не подтвердив новости.

2. Определите, какая информация украдена

Если информация верна, определите, какие конфиденциальные данные украдены. Как правило, рекомендуется шифровать всю корпоративную информацию и использовать двухфакторную аутентификацию, чтобы избежать киберпреступлений. Тем не менее, люди со злыми намерениями могут получить доступ к данным. Итак, заставьте свою ИТ-команду работать и выяснить источник мошенничества.

3. Защитите учетные данные

Чтобы уменьшить уже нанесенный ущерб, выполните следующие действия:

  1. Срочно меняйте все логины. Добавьте двухфакторную или многофакторную систему аутентификации, если вы еще этого не сделали.
  2. Убедитесь, что пароль непросто взломать или использовать ранее.
  3. Проверьте людей, у которых уже есть доступ к учетным данным. Эта информация пригодится в ходе следствия и судебных процессов.

4. Сообщите властям

Как указано выше, по закону вы обязаны информировать заинтересованные стороны о нарушении. Кроме того, вы должны подать жалобу в полицию, банки и другие соответствующие органы. Это обеспечит соблюдение вами законов штата и федеральных законов, тем самым придав вес вашему иску.

5. Наймите юриста

И последнее, но не менее важное: вы должны нанять адвоката для своей защиты. Поскольку случаи утечки данных резко увеличиваются, законы становятся все более строгими. Поэтому работа с адвокатом поставит вас в выгодное положение и облегчит ваше дело. Они могут дополнительно рассказать вам о том, что можно и чего нельзя делать, чтобы максимально снизить финансовый штраф.

Подводя итог

Вот несколько способов, которыми компания может соблюдать юридические последствия; при этом защищая себя. Тем не менее, было бы лучше заранее соблюдать меры кибербезопасности, чтобы избежать подобных инцидентов.

Читайте также:

  • Что такое VPN: как он используется
  • Лучшие услуги по очистке мастер-данных в 2022 году
  • Две главные причины обратиться к ИТ-консультанту