Tấn công mạng: Trách nhiệm pháp lý của Doanh nghiệp đối với Dữ liệu và Vi phạm Mạng

Tấn công mạng: Trách nhiệm pháp lý của Doanh nghiệp đối với Dữ liệu và Vi phạm Mạng

Vào ngày 12 tháng 1 năm 2014, một nhân viên siêu thị có ác cảm đã đăng thông tin chi tiết cá nhân của 99.998 nhân viên đồng nghiệp lên một trang web chia sẻ tệp nằm trong Dark Web. Các chi tiết bao gồm tên, địa chỉ, giới tính, ngày sinh, số điện thoại, số bảo hiểm quốc gia, mã phân loại ngân hàng, số tài khoản ngân hàng và chi tiết lương của những người bị ảnh hưởng. Ba tháng sau, một đĩa chứa tài liệu được tải lên đã được ba hãng tin tức nhận được. Siêu thị đã kịp thời thông báo. Trong vòng vài giờ, cảnh sát đã được gọi đến, và trang web chứa thông tin này đã bị gỡ xuống. Nó nhanh chóng được thiết lập rằng chỉ một số nhân viên có quyền truy cập vào dữ liệu cá nhân liên quan được lưu trữ trong một hệ thống kinh doanh nội bộ được cho là an toàn ("PeopleSoft"). Sau khi điều tra pháp y, Nó được tiết lộ rằng dữ liệu đã được sao chép vào chiều ngày 14 tháng 11 năm 2013 bởi một nhân viên bị bắt ba ngày sau đó. Tuy nhiên, rõ ràng là nhân viên bị bắt đã bị đóng khung bởi thủ phạm thực sự, kẻ sau đó đã bị bắt.

Bạn sẽ được tha thứ nếu nghĩ những điều trên là tiền đề cho một kịch bản phim. Không phải vậy. Nhân viên, Andrew Skelton, một kiểm toán viên CNTT cấp cao từng làm việc cho Siêu thị của Morrison, đã bị buộc tội và kết tội theo Đạo luật Lạm dụng Máy tính 1990 và Mục 55 của Đạo luật Bảo vệ Dữ liệu 1998. Skelton hiện đang thụ án 8 năm tù và Morrison's được cho là đối phó với một hình phạt lâu dài hơn. Trong một đơn kiện dân sự do các nhân viên bị ảnh hưởng đưa ra, người ta thấy rằng họ phải chịu trách nhiệm gián tiếp cho các hành động của Skelton, mặc dù:

Tòa án thừa nhận Morrison's đã áp dụng các thủ tục bảo vệ dữ liệu toàn diện;

Skelton đã sao chép dữ liệu trên máy tính cá nhân của mình ngoài giờ làm việc, và;

Ý định của Skelton là gây hại cho người sử dụng lao động của anh ta, không phải cho những nhân viên bị anh ta vi phạm dữ liệu.

Phán quyết của Tòa phúc thẩm trong Vụ kiện tụng khác nhau v WM Morrison Siêu thị Plc đã gây ra một làn sóng chấn động trong cộng đồng doanh nghiệp. Siêu thị đang kháng cáo, với vụ kiện sẽ được Tòa án Tối cao xét xử vào tháng 11. Nhưng mọi thứ vẫn ổn, tất cả các nhà tuyển dụng phải còn sống để thực hiện nhiệm vụ bảo vệ dữ liệu và an ninh mạng của họ nếu không sẽ phải đối mặt với những hậu quả tồi tệ. Ngăn chặn dữ liệu và vi phạm mạng không chỉ là nhiệm vụ của các tập đoàn đa quốc gia như Morrisons. Các doanh nghiệp siêu nhỏ, nhỏ và vừa có nghĩa vụ nghiêm ngặt trong việc bảo vệ dữ liệu mà họ nắm giữ khỏi bị đánh cắp hoặc mất mát. Hiểu được loại và phạm vi nhiệm vụ của mình sẽ cho phép bạn xác định các quy trình và thủ tục đảm bảo bạn đang làm tất cả những gì có thể để bảo vệ lợi ích của doanh nghiệp, khách hàng, đối tác và bên thứ ba của bạn.

Tiền phạt GDPR đầu tiên

Nhiều người đã nói và viết về Quy định bảo vệ dữ liệu chung của EU (GDPR) và Đạo luật bảo vệ dữ liệu của Vương quốc Anh 2018 (DPA 2018), hiện đã có hiệu lực hơn một năm . Các khoản tiền phạt đáng kể đã được đưa ra, bao gồm một số khoản phạt dành cho những khoản tiền đáng kể ở Big Tech. Tuy nhiên, trên khắp châu Âu, các doanh nghiệp vừa và nhỏ cũng đã phải chịu các hình phạt. Vào tháng 11 năm 2018, một trang web trò chuyện của Đức đã bị phạt 20.000 € (17.809 bảng Anh) sau một vi phạm dữ liệu lớn. Knuddels.de bị vi phạm khi thấy thông tin liên quan đến 330.000 người dùng, chẳng hạn như địa chỉ email và mật khẩu, được đặt trên Mega.nz và Pastebin.com. LfDI Baden-Württemberg, cơ quan bảo vệ dữ liệu khu vực tuyên bố, “Bằng cách lưu trữ mật khẩu dưới dạng văn bản rõ ràng, công ty đã cố ý vi phạm nghĩa vụ đảm bảo an ninh dữ liệu trong quá trình xử lý dữ liệu cá nhân theo Điều 32 (1) (a) của GDPR.” Tại Bồ Đào Nha, Bệnh viện Trung tâm Bồ Đào Nha Barreiro Montijo đã bị phạt 400.000 € sau khi nhân viên truy cập dữ liệu bệnh nhân thông qua hồ sơ giả. Văn phòng Ủy ban Thông tin (ICO) chưa đưa ra khoản phạt GDPR nào. Nhưng British Airways đang phải đối mặt với khoản tiền phạt kỷ lục 183 triệu bảng Anh vì rò rỉ dữ liệu năm ngoái (1,5% doanh thu của hãng) và chuỗi khách sạn Marriott có thể bị loại 99 triệu bảng Anh (3%) khỏi bảng cân đối kế toán .

Tấn công mạng

Tấn công mạng là các cuộc xâm lược có động cơ chính trị hoặc kinh tế vào hệ thống máy tính của một tổ chức. Chúng thường được tung ra trên Internet và được thực hiện thông qua việc phát tán các chương trình độc hại (vi rút), truy cập web trái phép, trang web giả mạo, các ứng dụng IoT được điều khiển từ xa và các dịch vụ chia sẻ tệp. Ví dụ về các phương pháp tấn công mạng bao gồm:

Phần mềm độc hại - phần mềm độc hại như phần mềm gián điệp, phần mềm tống tiền, vi rút hoặc sâu vi phạm mạng máy tính, cài đặt phần mềm nguy hiểm có thể làm tê liệt mạng hoặc dẫn đến việc đánh cắp dữ liệu.

Lừa đảo - việc gửi thông tin liên lạc gian lận thông qua một nguồn có vẻ có uy tín, chẳng hạn như email của công ty, để đánh cắp dữ liệu cá nhân một cách gian lận.

Man-in-the-Middle - kẻ tấn công tự đặt mình vào giữa giao dịch (ví dụ: chuyển tiền đặt cọc mua nhà). Phần mềm được cài đặt bí mật để xem và đánh cắp thông tin của nạn nhân.

Khai thác zero-day - kẻ tấn công khai thác một lỗ hổng không xác định trong phần mềm, phần cứng hoặc phần sụn của tổ chức. Vì lỗ hổng chưa được phát hiện nên không có bản vá nào được tạo ra, để hở để vi phạm.

Nghiên cứu của Hiscox cho thấy 55% công ty trên khắp Vương quốc Anh, Đức, Mỹ, Bỉ, Pháp, Hà Lan và Tây Ban Nha đã phải đối mặt với một cuộc tấn công mạng vào năm 2019, tăng từ 40% vào năm ngoái, với thiệt hại trung bình tăng từ 229.000 đô la (£ 176,000) đến $ 369,000. Tuy nhiên, bất chấp rủi ro, các công ty của Vương quốc Anh có mức ngân sách an ninh mạng thấp nhất; trung bình ít hơn $ 900,000 so với $ 1,46 triệu trong toàn nhóm. Khi nói đến trách nhiệm pháp lý đối với các vi phạm dữ liệu và không gian mạng, luật pháp rất rõ ràng - tổ chức có thể chịu trách nhiệm theo GDPR / Đạo luật Bảo vệ Dữ liệu 2018 và chịu trách nhiệm về khiếu nại dân sự về vi phạm dữ liệu / tấn công mạng. Và như được minh họa bởi Morrison'sTrường hợp, trách nhiệm pháp lý có thể trực tiếp hoặc gián tiếp. Bắt buộc phải ưu tiên các chính sách và thủ tục an ninh mạng của bạn, bất kể quy mô tổ chức của bạn. Và nếu vi phạm xảy ra, hãy tìm tư vấn pháp lý ngay lập tức để bằng chứng độc lập có thể nhanh chóng được thu thập và xác định. Vì tội phạm mạng luôn đi trước một bước so với công nghệ phát hiện và bảo vệ. Vấn đề không phải là liệu họ có tấn công doanh nghiệp của bạn hay không, mà là khi nào.