Gerichtsordnung FTC kann nach einem Cyber-Angriff hinter Ihrem Unternehmen stehen

Gerichtsordnung FTC kann nach einem Cyber-Angriff hinter Ihrem Unternehmen stehen
Als ob Hackerangriffe nicht genug sind, um Ihrem Unternehmen Kopfschmerzen zu bereiten, könnten Sie jetzt auch mit Sanktionen rechnen. A Das US-Berufungsgericht hat diese Woche entschieden, dass die Federal Trade Commission Unternehmen, die Opfer von Hacks sind, verklagen und verklagen kann. In Fällen, in denen die Sicherheitspraktiken so lax sind, stellen sie eine Verletzung der Datenschutzabkommen der Nutzer dar.

Als ob Hackerangriffe nicht genug sind, um Ihrem Unternehmen Kopfschmerzen zu bereiten, könnten Sie jetzt auch mit Sanktionen rechnen.

A Das US-Berufungsgericht hat diese Woche entschieden, dass die Federal Trade Commission Unternehmen, die Opfer von Hacks sind, verklagen und verklagen kann. In Fällen, in denen die Sicherheitspraktiken so lax sind, stellen sie eine Verletzung der Datenschutzabkommen der Nutzer dar. Dies bestätigte eine niedrigere Bundesgerichtsentscheidung, die auch auf der Seite der FTC stand.

Das Urteil vom Dritten Circuit in Philadelphia ist Teil einer laufenden Klage der FTC gegen die Hotelkette Wyndham Worldwide.

Wyndham hatte eine der Die meisten ungeheuer schwachen Sicherheitssysteme und wurde tatsächlich in den Jahren 2008 und 2009 drei Mal gehackt, mit dem Datendiebstahl von 619.000 Kunden, in Höhe von 10,6 Millionen Dollar Verluste, ohne nicht erstattete Gebühren, verlorenen Zugang zu Fonds und das Geld, das ausgegeben wurde, umzukehren betrügerische Gebühren. Viele wurden auf eine russische Hacker-Operation zurückgeführt.

Wyndham schien die Sicherheitsmaßnahmen noch nicht einmal grundlegender ausgeführt zu haben. Es speicherte Kreditkartendaten in leicht lesbaren Formaten, es erzeugte keine Firewalls zwischen verschiedenen Systemen, es machte Passwörter leicht zu knacken und es gab kein System, um Administratoren zu warnen, wenn ein Hack stattfand.

Related: Apples Tim Cook machte einen Rookie-Fehler und könnte SEC-Sanktionen erleiden

Die Kunden hielten jedoch Wyndhams Systeme für sicherer ... weil das Unternehmen ihnen das sagte. "Wir schützen die persönlich identifizierbaren Informationen unserer Kunden, indem sie Industriestandardpraktiken verwenden, & rdquo; Das Unternehmen sagte in seiner Datenschutzrichtlinie zu der Zeit. "Obwohl" garantierte Sicherheit "weder im Internet noch im Internet existiert, unternehmen wir wirtschaftlich angemessene Anstrengungen, um unsere Sammlung solcher Informationen mit allen anwendbaren Gesetzen und Vorschriften in Einklang zu bringen."

Dies führte zu "betrügerischen Praktiken". Anspruch, argumentierte das Berufungsgericht, weil die Kunden aufgrund der Datenschutzerklärung eine Erwartung hatten, dass ihre Unterlagen sicher waren.

Die FTC hat argumentiert, dass sie gegen Wyndham vorgehen kann, weil die Hotelkette "unfaire Cybersicherheitspraktiken" betreibt. das, "zusammengenommen, unangemessen und unnötigerweise die persönlichen Daten von Verbrauchern dem unautorisierten Zugang und dem Diebstahl aussetzt."

Wyndham hatte behauptet, dass die FTC nicht die Autorität hatte, Maßnahmen zu ergreifen, und dass es unmöglich gewesen sein konnte unfaire Praktiken, weil es das Opfer eines Verbrechens war.

Weiter hieß es weiter: Wenn das Gericht der FTC erlaubt, sich an der Sicherheit zu beteiligen, dehnt sie ihre Autorität auch auf Bereiche wie Türschlösser von Hotelzimmern aus .

Related: 4 Möglichkeiten Stock-Market Volatilität betrifft jedes Geschäft

Das Berufungsgericht war nicht durch dieses letzte Argument amüsiert, sagen, es ist alarmierend, gelinde gesagt und "lädt die scharfe Erwiderung, dass Wyndham waren Ein Supermarkt, der so viele Bananenschalen hinterlässt, dass 619.000 Kunden fallen, deutet kaum darauf hin, dass er von der Haftung ausgeschlossen sein sollte. "

Der Fall hat eindeutig Auswirkungen auf jedes Unternehmen, das sich mit E-Commerce beschäftigt, aber das Ausmaß und die Reichweite von Die Autorität der FTC bleibt unbenommen klar, weil es darauf basiert, welche Maßnahmen Unternehmen ergreifen, um ihre Kundendaten sicher zu machen. Unternehmen werden wahrscheinlich nach Hacks mit FTC-Durchsetzungsmaßnahmen konfrontiert sein, wenn sie der Agentur nicht zeigen können, dass sie alle zumutbaren Maßnahmen zum Schutz ihrer Systeme ergriffen haben. Aber das ist auch ein bewegliches Ziel.

Nehmen Sie den kürzlichen Ashley Madison Hack. In diesem Fall stimmen die Cybersicherheitsexperten der Untreue-Seite mit vielen starken Cyber-Schutzmaßnahmen zu, doch hat das Unternehmen immer noch einen der peinlichsten Hacks der Geschichte mit der Veröffentlichung von Millionen von Kundennamen, E-Mails und Kreditinformationen sowie internen E-Mails von der Geschäftsführer. Das hat Cybersicherheitsexperten die Möglichkeit eröffnet, dass der Hack ein Insider-Job war oder ein Niveau von Raffinesse, das noch nicht gesehen wurde. Erstere könnte eine FTC-Forderung (ein Versagen von Ashley Madison, den Zugang seiner eigenen Mitarbeiter zu Informationen zu überwachen) erheben, während letzteres schwerer zu beweisen wäre (ein Fortschritt in der kriminellen Kapazität, der selbst von den modernsten Sicherheitssystemen noch nicht vorstellbar ist)

Das Gericht selbst hat keinen Standard dafür definiert, wie weit Unternehmen gehen müssen, um die Daten ihrer Kunden zu schützen. Aber gleichzeitig hat es angedeutet, dass viele Unternehmen wahrscheinlich nicht genug tun und einen besseren Job machen müssen.

Related: KFC verdoppelt sich auf eine dumme Werbekampagne