Wyndham vs. FTC I professionisti della sicurezza aziendale hanno bisogno di un avvocato sulla protezione della violazione dei dati, affermano gli esperti

I dirigenti della sicurezza aziendale devono incontrarsi con i loro team legali per scoprire se il modo in cui proteggono i dati dei clienti li terrà fuori dai guai con la Federal Trade Commission qualora tali informazioni vengano compromesse in una violazione dei dati.

Sulla base di una decisione della Corte d'appello del Circuito statunitense di ieri, il miglior modo di agire è quello di imparare quali tipi di azioni ha intrapreso in passato la FTC - e perché - contro le società le cui difese sono state violate e i cui dati dei clienti sono stati rubati.

Lisa Sotto

Quindi le organizzazioni dovrebbero prendere delle misure per assicurarsi che la sicurezza soddisfi gli "standard di settore ragionevoli", afferma Lisa Sotto, un avvocato di Hunton & Williams che si concentra sulla privacy e la legge sulla sicurezza informatica.

Questo perché il tribunale afferma che va bene per FTC trovare aziende in colpa per violazioni dei dati e legarle con decreti di consenso che le costringono a sottoporsi a valutazioni di sicurezza di terze parti ogni due anni per 20 anni, afferma.

ALTRO SUL MONDO DI RETE: 26 cose folli e spaventose che la TSA ha trovato sui viaggiatori

Ma non si sa ancora quale impatto avrà la sentenza sul fervore con cui la FTC insegue le società violate, afferma Jason Straight, vicepresidente senior e Chief Privacy Officer di UnitedLex, una società di consulenza legale e tecnologica. "La preoccupazione è che [la decisione del Wyndham] consentirà all'FTC di essere più aggressivo", afferma. "Il tribunale afferma che consentirà all'FTC di decidere cosa sia ragionevole".

La sentenza 3-0 del tribunale ha respinto l'affermazione di Wyndham Worldwide Corp. secondo cui la legge federale non conferisce alla FTC il potere di punire le aziende per la cattiva sicurezza che provoca il furto di dati dei clienti. "Il 3rd Il circuito afferma fermamente che la FTC ha l'autorità di regolamentare nell'arena dell'infosec ”, afferma Sotto.

Evitare le sanzioni da parte della FTC non è in genere così oneroso, dice, perché storicamente la commissione va solo dopo che le imprese "per non avere una ragionevole sicurezza dei dati affidati loro dai consumatori ... Di solito vanno solo dopo le aziende che hanno sistemi profondamente insicuri. ”

Wyndham ha subito tre violazioni nel 2008 e nel 2009 e non è riuscito a crittografare i dati della carta di credito, afferma Straight.

Gli oltre 50 casi che FTC ha perseguito dall'inizio degli anni 2000 sono stati piuttosto chiari in merito alle imprese che non sono riuscite a creare tale sicurezza, afferma. Tutti tranne Wyndham e un altro hanno firmato il consenso con la FTC, e l'altro sta chiudendo la sua attività.

+ ANCHE SUL NETWORK WORLD Court: FTC è in grado di abbattere le aziende con una scarsa sicurezza informatica  +

Alcune aziende sono esenti dall'autorità FTC - le banche e l'assistenza sanitaria sono in genere tra quelle - ma per il resto i dirigenti della sicurezza dovrebbero scoprire quale sia stato l'agenda normativa dell'FTC in merito alle violazioni dei dati. Ciò rappresenta 10 o più anni di decisioni secondo le quali è improbabile che i professionisti della sicurezza abbiano il tempo di fare ricerche da soli, quindi dovrebbero chiedere assistenza legale, dice Sotto.

La FTC non pubblica un elenco di protezioni specifiche che le aziende devono fornire al fine di evitare di essere citate per non aver fornito una sicurezza ragionevole, ma è probabile che CSO e altri incaricati di proteggere i dati dei clienti che provano a soddisfare uno standard più elevato - la migliore azienda pratiche per la sicurezza - non ostacolerà la commissione, dice.

I professionisti della sicurezza che cercano di tenere il passo con la difesa dalle ultime minacce conosciute dovrebbero essere in buona forma, dice Sotto. Negli ultimi due anni la FTC è migliorata nel tenere il passo con quali passi sono ragionevoli e ha assunto un capo tecnologo per condurre tale sforzo.

Qualche consiglio da parte della FTC sarebbe il benvenuto, afferma Pat Clawson, CEO del Blancco Technology Group. Dice che l'FTC è "più fiducioso e disposto a lavorare insieme per una risoluzione con una società" che ha denunciato una violazione delle forze dell'ordine appropriate e ha collaborato con esse ". Pertanto, la creazione di parametri scritti su come vengono intrapresi questi passi - e la successiva comunicazione al riguardo - potrebbe benissimo influire su quali imprese rientrano nelle buone grazie della FTC e quali diventano i principali obiettivi per indagini e cause giudiziarie. "

Wyndham potrebbe fare appello al 3rd La decisione del circuito alla Corte suprema degli Stati Uniti, ma la corte dovrebbe decidere di ascoltarla, dice Sotto, ed è una cosa molto difficile da realizzare.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.