网络安全诉讼风险：首席信息安全官最关心的四个问题

根据诺顿罗斯富布赖特(Norton Rose Fulbright)对250多名总法律顾问和内部诉讼从业者的最新年度诉讼趋势调查，网络安全和数据保护将成为未来几年新法律纠纷的首要驱动因素之一。三分之二的受访者表示，他们在2021年更容易受到此类争议的影响，而2020年不到一半，而更复杂的攻击，对远程环境中员工/承包商的监督减少以及对客户数据量的担忧都被认为是缓解因素。

显然，对于CISO及其组织来说，诉讼的风险是非常真实的，但是最令人担忧的领域是什么，他们能做些什么呢?

数据泄露引发诉讼

在过去的18个月到两年中，组织在数据泄露后面临诉讼的可能性显着增加，特别是当一家公司被认为没有很好地处理违规行为时，专门从事技术和合规法律事务的律师兼Cordery合伙人Jonathan Armstrong说。“现在发生大数据泄露事件，诉讼是一种可能性。”他补充道。

eSentire战略和企业发展副总裁Alex Jinivizian告诉CSO，虽然法律诉讼的倾向因地理位置而异，但网络攻击的持续规模导致政府，行业和监管机构对什么是安全性差的更明确的断言，为更多的法律行动打开了大门。“一些最引人注目的数据泄露事件 - Equifax，万豪，Target，美国人事管理办公室 - 导致这些公司因安全卫生标准不佳而导致机密员工或客户数据丢失的重大诉讼，”他说。

阿姆斯特朗警告说，这对企业的影响可能相当大。“目前在不同案件中寻求的损害赔偿很高。仅举一例，TikTok在荷兰面临15亿欧元的诉讼，其他国家(包括英国和德国)也有类似的高价值索赔。多年来，与数据相关的诉讼也一直是美国企业生活的一个特征。

首席信息安全官受到抨击

诉讼风险不仅限于公司。签名诉讼律师事务所合伙人Simon Fawell表示，CISO本身也面临着因违反职责而采取的诉讼，因为没有采取足够的措施来防止违规行为，或者违规行为的后果处理得很糟糕。

Jinivizian对此表示赞同：“对于大中型企业来说，CISO的角色从未如此重要，并且可能更受关注，并对安全事件和数据泄露负责，正如在2020年破坏性供应链攻击之后对SolarWinds的CISO和其他高管正在进行的集体诉讼所表明的那样。

阿姆斯特朗补充说，对Uber的CSO的指控也证明了这一点，据称他们试图掩盖与2016年攻击有关的勒索软件付款，该攻击损害了数百万用户和司机的数据。

Fawell说，如果CISO担任公司董事，那么他们可能会因数据和隐私泄露而面临违反职责的股东诉讼，因为数据和隐私泄露对公司价值的损害。“在英国，股东对董事的诉讼一直在增加，在数据泄露导致股东价值下降的地方，对董事的索赔越来越多地被考虑在内。这反映了其他司法管辖区的趋势，例如美国，首席信息安全官已经因违反义务而受到高调索赔。

商业秘密的丢失和声誉受损

数据泄露或隐私诉讼的潜在后果包括巨额罚款、民事和刑事处罚、声誉损害以及股价的不利影响。所有这些都可以单独或组合影响组织和CISO。在丢失重要信息的地方，损害可能非常高，Signature Litigation LLP的律师Alasdair Marshall补充道。“例如，如果中介或代理人发生违规事件并丢失可能对另一家公司的声誉造成重大损害的商业秘密或信息，这可能导致重大诉讼。近年来，巴拿马文件和瑞士信贷事件突显出越来越多的人寻求获取敏感信息并将其发布到市场上。

更重要的是，为诉讼辩护可能既昂贵又耗时，马歇尔说。“虽然英国制度允许胜诉方从失败者那里收回法律费用，但花在法律费用和辅助费用上的金额很少被全额收回。诉讼还需要大量的CISO和董事会层面的关注，这将更有效地专注于发展和保护未来的业务。

诉讼也可能对网络保险事务产生直接影响，影响范围包括续保和新业务等。ForgeRock首席信息安全官Russ Kirby说，反弹最快的公司和首席信息安全官是那些将客户放在首位的公司和首席信息安全官，他们采取一切必要措施帮助受影响的客户将影响降至最低，并分享他们计划采取的步骤，以确保这种情况不再发生。

法规和要求

专家们一致认为，地理因素对于CISO及其组织面临的诉讼风险尤为重要。例如，Fawell说，在最高法院对Lloyd诉谷歌案的裁决之后，英国大规模集体诉讼的威胁有所减弱，该裁决在现有程序框架下停止了“选择退出”集体诉讼，并强调了根据英国规则提出大规模数据索赔的困难。“虽然该决定并未完全阻止数据隐私案件中集体诉讼的可能性，并且仍有许多索赔通过英国法院进行，这些索赔的框架不同，但仍有可能取得成功，这对索赔人来说是一个相当重大的挫折，”他补充说。

也就是说，受数据泄露影响的个人获得赔偿的压力越来越大，在不久的将来，看到对数据隐私案件引入某种形式的选择退出集体诉讼制度也就不足为奇了，Fawell说。“英国已经为竞争索赔引入了选择退出制度，数据隐私将是类似方法的下一个合乎逻辑的领域。他继续说，尽管英国大规模集体诉讼的威胁暂时有所减弱，但个人诉讼的威胁仍然非常明显，特别是在高价值公司数据可能受到损害的情况下。“GDPR(以及相关的英国立法)提高了对数据隐私问题的认识，并更加关注商业交易中的合同条款。

至于美国，事情可能会变得同样甚至更加复杂，前首席信息安全官杰克·奥梅拉(Jack O'Meara)说，他是咨询公司Guidehouse的诉讼支持服务负责人。“例如，在美国国防工业基地承包商工作的首席信息安全官需要遵守国防联邦采购条例(DFARS)252.204-7012，以保护涵盖国防信息和网络事件报告，而在纽约金融机构工作的首席信息安全官需要遵守纽约州金融服务部23 NYCRR 500金融服务公司的网络安全要求。

与此同时，一名法官最近批准了Kemper Insurance的原告提出的1760万美元的集体和解，他们涉嫌违反加利福尼亚州的“消费者隐私法”，而美国证券交易委员会(SEC)则为上市公司提出了新的强制性网络安全披露规则，以及书面网络政策和程序，加强报告以及私募股权和投资公司的记录管理。

O'Meara补充说，最终，美国CISO需要了解其公司持有的合同中包含的特定网络安全要求。“在本文中有太多的法规和要求需要提及，但CISO需要了解适用于其行业和地理区域的法规和要求。

降低诉讼风险

Kirby说，为了减轻和降低诉讼风险，首席信息安全官必须首先检查他们的安全计划在严厉审查下是否“可防御”，并能够改变和适应新的威胁。“例如，如果它无法经受住有关您的协议是否遵循当地法律和行业标准的问题，则需要迅速采取行动来解决这些差距。

Fawell引用了五个问题，这些问题有助于从诉讼角度衡量违规响应计划的有效性：

谁是主要服务提供商?

内部沟通渠道是什么?谁来指导律师和其他关键顾问?是CISO还是需要其他批准?

如果系统关闭，处理违规行为的关键人员如何安全地进行通信?

哪种类型的违规行为最有可能影响公司，谁是最有可能受到影响的交易对手?

与交易对手签订的合同中的数据隐私条款要求什么?这些合同中是否有通知要求?

“计划的范围可以从至少确保上述问题和其他问题的答案得到考虑，并且将要处理违规行为的关键人员知道答案，到拥有完整的模拟违规行为到压力测试过程，”Fawell补充道。

O'Meara表示，CISO应该能够提供有案可稽的政策和程序，包括合规性工件，安全配置设置的屏幕截图，防火墙日志，访问审计日志，用户计算机系统和应用程序访问请求表单，以及员工安全培训记录。

阿姆斯壮建议首席信息安全官与习惯于在事件发生之前处理这些类型的风险和诉讼的律师进行接触。“当你确实遇到事故时，重要的是不要试图像一个孤独的牛仔一样处理它，”他说。

同样，O'Meara建议美国公司与内部法律顾问合作，了解诉讼风险以及相关影响和后果。

Fawell说，首席信息安全官熟悉公司网络保险政策的条款也很重要 - 主要是涵盖/不涵盖的内容以及发生违规行为时的通知要求。“保险公司通常应该是最早的停靠港之一。不仅确保保险生效很重要，保险公司通常也是如何处理违规行为某些方面的良好信息和建议来源。

此外，Fawell继续说，安全领导者必须小心在违规事件发生后立即记录(和不记录)哪些信息。“重要的是要对所做出的决定及其原因进行清晰的审计跟踪。然而，在处理立即具有挑战性的情况时，以书面形式记录判断错误的评论(通常来自高级人员)并不罕见，这在以后的法律诉讼中可能没有帮助。特别重要的是，每个人都要了解哪些通信可能在相关司法管辖区受到法律特权的保护，哪些则不会。

阿姆斯特朗已经看到了这一点。“权限至关重要。通常，诉讼当事人很早就要求查看内部备忘录，通信和取证报告。如果您没有正确设置权限，则可能必须披露所有材料。

Fawell建议，在可能的情况下，关键人员之间举行面对面的会议是明智的，以建立明确的沟通渠道，并确保审计线索准确，清楚地详细说明响应过程。