網絡安全訴訟風險：首席信息安全官最關心的4個問題

網絡安全訴訟的威脅足以讓企業領導者徹夜難眠，而數據保護、隱私和網絡安全法規的日益普及正在給首席信息安全官帶來巨大的壓力。

根據英國諾頓羅氏律師事務所對250多名法律顧問和內部訴訟從業者進行的年度訴訟趨勢調查，網絡安全和數據保護將成為未來幾年新的法律糾紛的主要驅動因素。三分之二的受訪者表示，他們在2021年更容易受到此類糾紛的影響，而2020年這一比例不到一半，而同時更復雜的網絡攻擊、對遠程環境中的員工/承包商的監督更少，以及對客戶數據量的擔憂都被列為影響因素。 

顯然，對于首席信息安全官及其企業而言，面臨的訴訟風險是非常現實的，但他們最關心的問題是什么，能做些什么呢? 

1.數據泄露引發訴訟 

專門從事技術和合規法律事務的律師兼Cordery公司合伙人Jonathan Armstrong表示，在過去18個月到兩年中，企業因數據泄露而面臨訴訟的可能性顯著增加，尤其是當企業被認為沒有很好地處理數據泄露事件時。他補充說：“現在出現數據泄露事件的話，引發訴訟是必然的。” 

eSentire公司戰略和企業發展副總裁Alex Jinivizian表示，雖然法律行動的傾向由于所在的地理位置而有所不同，但網絡攻擊的持續規模已導致各國政府、行業和監管機構對安全性做出更明確的判斷，為采取更多法律行動打開了大門。他說：“美國人事管理辦公室、Equifax、Marriott、Target公司的一些引人注目的數據泄露事件導致了針對這些公司的重大訴訟，涉及網絡安全標準較差導致的員工或客戶的機密數據丟失。” 

Armstrong警告說，這對企業來說可能是相當大的影響。他說，“目前在不同案件中尋求的損害賠償很高。例如TikTok公司在荷蘭面臨15億歐元的訴訟，其他國家也有類似的高額索賠，包括英國和德國。多年來，與數據相關的訴訟也一直是美國企業面臨的風險。” 

首席信息安全官受到訴訟 

網絡安全訴訟的風險不僅限于企業，也涉及個人。Signature Litigation公司合伙人Simon Fawell表示，如果沒有采取足夠的措施來防止數據泄露行為，或者違規的后果處理不當，首席信息安全官本身將面臨因失職而受到法律訴訟。

Jinivizian對這一觀點表示認同，他說：“首席信息安全官的角色對大中型企業來說從未像現在這樣重要，而且在安全事件和數據泄露事件中可能扮演著更重要的角色，在2020年毀滅性的供應鏈攻擊之后，針對SolarWinds公司的首席信息安全官和其他高管的集體訴訟就是明證。”

Armstrong補充說，Uber公司的首席安全官涉嫌試圖掩蓋與2016年攻擊有關的勒索軟件的贖金，此次攻擊泄露了數百萬名用戶和司機的數據，這也證明了這一點。 

Fawell表示，如果首席信息安全官擔任企業董事，那么他們可能會因為數據和隱私泄露而面臨股東違規行為。他說，“在英國，股東對企業董事的訴訟一直在增加，在數據泄露導致股東利益受損的情況下，越來越多地考慮對企業董事提出索賠。這反映了其他司法管轄區的趨勢，例如在美國，首席信息安全官已經成為因違反職責而備受關注的索賠對象。” 

2.商業秘密丟失和聲譽受損 

數據泄露或隱私訴訟的潛在后果包括巨額罰款、民事和刑事處罰、聲譽損害以及對股價的不利影響。所有這些都可以單獨或組合影響企業和首席信息安全官。Signature Litigation公司的合伙人Alasdair Marshall補充說，如果丟失了重要信息，損失可能會非常大。他說，“例如，如果中間人或代理人發生違規事件并丟失重要信息，可能對另一家公司的聲譽造成嚴重損害的商業機密或信息，這可能會導致重大訴訟。近年來，‘巴拿馬文件’和瑞士信貸事件凸顯了越來越多的個人尋求獲取敏感信息并將其發布到市場上。” 

Marshall說，“此外，為訴訟辯護可能既昂貴又耗時。雖然英國的制度允許勝訴方從敗訴方那里收回訴訟費用，但很少會全額收回用于法律費用和輔助費用的金額。訴訟還需要首席信息安全官和董事會層面的高度關注，這將更有成效地專注于發展和保護未來的業務。” 

ForgeRock公司首席信息安全官Russ Kirby表示，訴訟也可能對網絡保險事項產生直接影響，影響保險、續約和新業務等事項。而不會受到訴訟影響的公司和首席信息安全官通常將客戶放在首位，他們致力保持透明，盡一切努力幫助客戶將影響降至最低，并分享他們計劃采取的步驟以確保不會再次發生這種情況。 

3.法規和要求 

專家一致認為，地理因素對于首席信息安全官及其企業面臨的訴訟風險尤為重要。例如，英國最高法院在Lloyd訴谷歌案中做出裁決，終止了現有程序框架下的“選擇退出”集體訴訟，并強調了根據英國法律提起大規模數據索賠的困難，之后，大規模違規群體訴訟的威脅在英國有所減少。他補充說：“雖然這項裁決沒有完全阻止在數據隱私案件中提起集體訴訟的可能性，而且英國法院仍有許多不同的訴訟可能會取得成功，但這對索賠者來說是一個相當大的挫折。” 

話雖如此，受數據泄露影響的個人獲得賠償的壓力越來越大，在相對不久的將來看到針對數據隱私案件引入某種形式的選擇退出集體訴訟制度也就不足為奇了。Fawell說，“英國已經針對競爭主張引入了退出機制，數據隱私將是類似方法的下一個合乎邏輯的領域。”他指出，盡管目前英國大規模集體訴訟的威脅已經減弱，但個人訴訟的威脅仍然非常明顯，尤其是在高價值的數據可能受到損害的情況下。他說，“GDPR法規和英國相關的立法提高了人們對數據隱私問題的認識，并更加關注商業交易中的合同條款。” 

咨詢機構Guidehouse公司的訴訟支持服務負責人、前首席信息安全官Jack O'Meara說，“就美國而言，這些事情可能會變得更加復雜。例如，在美國國防工業基地承包商工作的首席信息安全官需要遵守美國國防采購條例(DFARS)252.204-7012保護涵蓋的國防信息和網絡事件報告，而在紐約金融機構工作的首席信息安全官需要遵守紐約州金融服務部23NYCRR500對金融服務公司的網絡安全要求。” 

與此同時，一名法官最近批準了由Kemper保險公司的原告提起的1760萬美元的集體和解，該原告指控其違反了加州的《消費者隱私法》，而美國證券交易委員會(SEC)已經針對上市公司提出了新的強制性網絡安全披露規則，以及為私募股權和投資公司提供書面網絡政策和程序、增強的報告和記錄管理。 

O'Meara補充說，最終，美國首席信息安全官需要了解其企業合同中包含的特定網絡安全要求，還需要了解適用于其行業和地理區域的法規和要求。 

4.降低訴訟風險 

Kirby表示，為了減輕和降低訴訟風險，首席信息安全官必須首先檢查他們的安全計劃在嚴格審查下是否“可防御”，是否能夠改變和適應新的威脅。他說，“例如，如果它無法解決有關其協議是否符合當地法律和行業標準的問題，那么需要迅速采取行動解決這些問題。” 

Fawell列舉了以下五個問題，這些問題有助于從訴訟的角度衡量違規響應計劃的有效性： 

(1)誰是需要聯系的主要服務提供商? 

(2)內部溝通渠道是什么?誰要求指導律師和其他主要顧問?是首席信息安全官還是需要其他高管批準? 

(3)如果系統宕機，處理漏洞的關鍵人員如何安全溝通? 

(4)哪種類型的違規行為最有可能對企業造成影響?誰是最有可能受到影響的交易對手? 

(5)與交易對手的合同中的數據隱私條款有什么要求?這些合同中是否有通知要求? 

Fawell補充說，“計劃的范圍至少可以從確保上述問題和其他問題的答案得到考慮，并且處理違規行為的關鍵人員要知道答案，到完全模擬違規行為到壓力測試過程。” 

O'Meara表示，首席信息安全官應該能夠在需要時提供文件化的政策和程序，包括合規性文件、安全配置設置的屏幕截圖、防火墻日志、訪問審計日志、用戶計算機系統和應用程序訪問請求表，以及員工安全培訓記錄。 

Armstrong建議首席信息安全官與習慣于在事件發生之前處理此類風險和訴訟的律師進行接觸。他說，“當確實發生了攻擊事件時，重要的是不要試圖把它當作一個孤立的事件來處理。” 

同樣，O'Meara建議美國的企業與內部法律顧問合作，以了解訴訟風險以及相關的影響和后果。 

Fawell指出，首席信息安全官熟悉企業網絡保險政策的條款也很重要，主要是涵蓋/不涵蓋哪些內容以及發生違規時的通知要求。他說，“保險公司通常應該是最早的聯系渠道之一。不僅確保承保范圍很重要，保險公司通常也是有關如何處理某些方面違約的信息和建議的良好來源。” 

此外，網絡安全領導者必須知道在違規后立即記錄哪些信息。他說，“重要的是要對所做出的決定及其原因保持清晰的審計跟蹤。然而，在處理立即具有挑戰性的情況時，以書面形式記錄判斷錯誤的評論(通常來自高級人員)并不少見，這在以后的法律訴訟中可能沒有幫助。尤其重要的是，每個人都要了解哪些可能在相關司法管轄區受到法律特權的保護，以及哪些不會。” 

Armstrong已經看到了這種情況。他說，“特權至關重要。在通常情況下，訴訟當事人很早就要求查看內部備忘錄、通訊和報告。如果沒有正確設置特權，可能不得不披露所有材料。” 

Fawell建議，在可能的情況下，明智的做法是在關鍵人員之間召開會議，以建立清晰的溝通渠道，并確保審計追蹤準確而清晰地詳細說明響應過程。