Wyndham vs. FTC Corporate proffs er nødt til at advokat op om beskyttelse af dataovertrædelse, siger eksperter

Ledere af virksomhedssikkerhed skal mødes med deres juridiske team for at finde ud af, om den måde, de beskytter kundedata på, vil holde dem ude af problemer med Federal Trade Commission, hvis disse oplysninger kompromitteres i forbindelse med en dataforbrydelse.

Baseret på en amerikansk Circuit Court of Appeals-afgørelse i går, er det bedste skridt til at lære, hvilke slags handlinger FTC har truffet i fortiden - og hvorfor - mod virksomheder, hvis forsvar er krakket, og hvis kundedata er stjålet.

Lisa Sotto

Derefter bør organisationer tage skridt for at sikre, at sikkerhed opfylder "rimelige industristandarder," siger Lisa Sotto, en advokat hos Hunton & Williams, der fokuserer på privatlivets fred og cybersikkerhedslovgivning.

Det skyldes, at retten siger, at det er OK for FTC at finde virksomheder, der er skyld i dataovertrædelser, og at binde dem sammen med samtykkeerklæringer, der tvinger dem til at underkaste sig tredjeparts sikkerhedsvurderinger hvert andet år i 20 år, siger hun.

MERE PÅ NETVÆRKSVERDELEN: 26 skøre og skræmmende ting, TSA har fundet på rejsende

Men det er stadig ukendt, hvilken indflydelse afgørelsen vil have på den inderlighed, som FTC går efter overtrådte virksomheder, siger Jason Straight, senior vice president og chef for privatlivets fred for UnitedLex, en juridisk og teknologisk konsulentvirksomhed. ”Bekymringen er, at [Wyndham-beslutningen] vil gøre det muligt for FTC at være mere aggressiv,” siger han. ”Retten siger, at den vil lade FTC beslutte, hvad der er rimeligt.”

Retsafgørelsen 3-0 skød Wyndham Worldwide Corp.s krav på, at føderal lov ikke giver FTC magt til at straffe virksomheder for dårlig sikkerhed, der resulterer i tyveri af kundedata. “De 3rd Circuit siger fast, at FTC har myndighed til at regulere på infosec-arenaen, ”siger Sotto.

At undgå sanktioner fra FTC er typisk ikke så belastende, siger hun, fordi Kommissionen historisk set kun går efter virksomheder “for manglende sikkerhed for data, der er overdraget dem af forbrugere… De går typisk kun efter virksomheder, der har dybt usikre systemer. ”

Wyndham led tre overtrædelser i 2008 og 2009 og kunne ikke kryptere kreditkortsdata, siger Straight.

De mere end 50 sager, som FTC har forfulgt siden de tidlige 2000'ere, har handlet temmelig tydeligt om, at virksomheder ikke har skabt en sådan sikkerhed, siger hun. Alle undtagen Wyndham og den anden underskrev samtykkeerklæring med FTC, og den anden afvikler sin forretning.

+ OGSÅ PÅ NETWORK WORLD Domstol: FTC kan nedbringe hammeren på virksomheder med slurvet cybersikkerhed  +

Nogle virksomheder er undtaget fra FTC-myndighed - bankvirksomhed og sundhedsydelser er typisk blandt dem - men ellers bør sikkerhedsledere finde ud af, hvad FTC's regulatoriske dagsorden har været vedrørende dataforbrud. Det repræsenterer 10 år eller mere af beslutninger, som det ikke er sandsynligt, at sikkerhedsprofesser vil have tid til at undersøge selv, så de bør indkalde juridisk hjælp, siger Sotto.

FTC udsender ikke en liste over specifikke beskyttelser, som virksomhederne skal give for at undgå at blive citeret for ikke at levere rimelig sikkerhed, men det er sandsynligt, at CSO'er og andre, der har til opgave at beskytte kundedata, der forsøger at opfylde en højere standard - virksomhedens bedst praksis for sikkerhed - vil ikke blive fortabt af Kommissionen, siger hun.

Sikkerhedsprofæer, der prøver at holde trit med at forsvare sig mod de seneste kendte trusler, skal være i god form, siger Sotto. I løbet af de sidste to år er FTC blevet bedre til at følge med, hvilke skridt der er rimelige, og har ansat en chefteknolog til at lede denne indsats.

Nogle vejledninger fra FTC ville være velkomne, siger Pat Clawson, administrerende direktør for Blancco Technology Group. Han siger, at FTC er "mere tillidsfulde og villige til at arbejde sammen for en beslutning med et selskab, der har rapporteret et brud på de relevante retshåndhævende myndigheder og samarbejdet med dem." Så at opsætte skriftlige parametre omkring, hvordan disse skridt tages - og den efterfølgende kommunikation omkring det - kan meget vel have indflydelse på, hvilke virksomheder der falder ind under FTC's gode nåder, og hvilke der bliver de øverste mål for efterforskning og retssager. ”

Wyndham kunne appellere til 3rd Circuits afgørelse til den amerikanske højesteret, men retten er nødt til at beslutte at høre den, siger Sotto, og det er en meget vanskelig ting at få til at ske.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.