数据泄露对公司、其人员、客户以及广泛的其他人员都可能产生重大的财务、声誉、法律和情感影响。当数据泄露发生时,受影响的人会担心可能发生的事情及其可能的负面影响。不仅他们的财务状况面临真实的威胁,个人隐私也感到不安。此外,政府监管机构以及政治家们通常也会为各种目的采取行动。
对于CSO和CISO来说,数据泄露带来了独特的挑战,包括潜在的个人责任。虽然这种情况很少见,但CSO和CISO面临个人责任并非完全不可能。如果能够证明CSO或CISO行为疏忽或未能履行职责,他们可能会被追究个人责任。这可能导致财务处罚,禁止担任董事或高管职位,以及在极端情况下,面临刑事指控。
例如,Uber前首席安全官因隐瞒一起重大数据泄露事件被判缓刑并需缴纳重罚。该首席安全官涉及到的隐瞒行为包括支付黑客以换取其沉默,并起草虚假的不披露协议,声称黑客未取得或储存任何数据。他还向公司的律师和联邦贸易委员会隐瞒了关于泄露的信息。虽然这是一个极端的例子,但这种结果可能预示着未来数据泄露日益普遍和严重时的危险。
如何应对挑战并最小化风险:
以下是我们提供的关于如何应对挑战、最小化风险,并确保公司的行为符合法律标准和最佳实践的指导:
最重要的一条指导原则是及时且频繁地参与法律咨询。在你首次获知数据泄露事件时,你应该立即确定你的公司的法律顾问是谁,并与这些律师取得联系。与律师的初次讨论应包括以下清单:
1.公司中谁应被告知此索赔,谁不应被告知,无论是否在你的公司内。
2.这些律师是否能并将代表你及你的公司,如果不能,你应如何寻找律师。
3.律师/客户特权。询问关于律师客户特权的教育或更新。律师客户特权是一项关键的保护措施,无论是否涉及法律行动,都必须保持,如果因泄露而采取法律行动,则尤其如此。
4.询问关于“诉讼保留”的情况,这是一项来自法律顾问的指令,要求公司内所有相关部门即使在正常商业操作中也不得销毁文件。这一决定和指示的范围应由法律顾问提出,但你和其他人必须了解这一概念及其在你的情况下如何使用的具体细节。简单来说,你的法律顾问会希望避免被指控销毁证据。
5.如果你不是CSO或CISO,请确定这些官员是谁,并询问法律顾问如何联系这些人。
6.询问需要移交给法律顾问的文件。这通常会包括索赔人提交的索赔材料,你的组织内有关索赔的文件记录,任何有关数据安全的政策或适用指南,以及你已经生成或收集的任何材料。
7.准备向法律顾问提供你对事件的详细描述,以及识别任何可能涉及到所声称事件的其他公司控制的人员及任何支持文件。他们可以指导事件响应并提供法律建议以限制组织和你个人的责任。
8.询问法律顾问任何其他你想到的问题。如果这提高了你的关注,那么值得与法律顾问分享。
立即记录事件
法律顾问可能会要求你记录你所知道的关于事件的信息,并指导你如何做到这一点。虽然你应该遵循法律顾问的指示,但所有相关细节肯定是必需的。这些信息将包括发现的日期和时间,违规的性质,涉及的数据类型,受影响的个人数量,采取的任何立即措施,以及任何其他能够保存关于违规的相关事实的信息。
尽管相关信息的完整范围可能尚未明确,你应该选择尽可能全面地进行记录。你的记录应尽可能接近事件发生时进行,以便保存回忆以及可能存在于可能因任何原因离开组织的人员中的信息。这些文件对于指导内部和外部调查、协助遵守监管要求、并帮助减少潜在法律程序的影响至关重要。
CISO应与法律团队密切合作
鉴于其技术专长或个人责任感,CSO和CISO可能会试图在数据泄露事件中掌控局面。然而,这可能导致意外的法律复杂问题。在数据泄露发生后,让你的组织法律顾问指导决策过程至关重要。他们可以确保对数据泄露的响应符合适用法律,并且沟通和修复工作得当,以最小化潜在的责任风险。
除了保护组织外,CSO和CISO可能还希望寻求个人法律咨询。尽管面临个人责任或刑事指控的情况很少见,但有时可能会成为一个真实或担忧的风险。独立的法律咨询可以提供针对你具体情况的指导,识别你的利益可能与组织的利益不同的地方,缓解你的担忧,所有这些都可以在律师-客户特权下保护。
在数据泄露后,有效的沟通至关重要。法律顾问应指导公共声明的制定,确保其准确、及时,并符合法律义务。请记住,提供不正确或误导性信息可能会增加责任风险。公开信息还可能对公众对其个人财务和隐私风险的关注产生积极或消极的影响。在发表任何公开声明或与受影响方沟通之前,请先咨询法律顾问。
数据泄露事件经常涉及各种监管机构。在保护组织利益的同时,应在法律顾问的指导下全面配合任何调查,以确保不会无意中增加法律责任。
事后分析同样重要
事发后,必须审查违规原因并相应更新安全措施。这有助于防止未来的事件发生,并展示出对安全的承诺,有助于限制责任。法律顾问应参与此过程,以确保任何变更都符合监管要求。
不幸的是,数据泄露事件已经变得如此常见,以至于组织都在预测何时以及如何应对这些事件。明智的做法是在需要之前就实施一个健全的事件响应计划(IRP)。如果你的组织还没有制定响应计划,那么应当尽快制定一个。如果已有计划,应当遵循执行。遵循这一计划可以帮助避免仓促应对,展示出解决问题的诚意,并在面临法律行动时提供坚实的防御。
