美国上诉法院裁定,联邦贸易委员会(FTC)保护消费者免受欺诈、欺骗和不公平商业行为侵害的授权延伸至对企业网络安全工作的监督——以及失误。但安全专家对该决定是否有助于提高企业安全性存在分歧。
“这不仅适当,而且很重要,即在公司未能采取合理的步骤以确保敏感的消费者信息时,FTC有能力代表消费者采取行动,”联邦贸易委员会主席Edith Ramirez在一份声明中表示。
具体而言,上周的决定允许联邦贸易委员会对2008年至2010年间未能合理保护消费者个人信息的温德姆酒店和度假村采取行动,当时黑客三次闯入,盗取了60多万个银行卡号。
加上今年夏天的另一项法庭判决,允许对违规公司提起集体诉讼,这一裁决意味着数据违规将变得更加昂贵。
动作压力
显然,鉴于数据泄露事件不断发生,而且破坏性越来越大,需要采取一些措施。
加利福尼亚州山景山景山景总裁兼联合创始人Eric Chiu表示,“每个人都希望看到更多。“允许公司警察自己没有工作。”
邱认为,经济和金融动机是不够的,企业没有自我监督,消费者也为此付出了代价。他说,联邦贸易委员会的参与对消费者来说是个好消息。
他说:“政府现在将对公司建立正确的安全水平,为公司提供更大的压力,”他说。“它为FTC提供了更多的权力,以对坦率地拥有弱安全实践的公司采取行动。”
多伦多BrandProtect Inc.首席营销官格雷格·曼库西·恩加罗(Greg Mancusi Ungaro)说,这项裁决给了联邦贸易委员会更多的牙齿,这是一件好事。
他补充说,要看是否有足够的牙齿,还需要时间。
但他说,联邦贸易委员会征收的实际罚款只是一个开始,因为联邦贸易委员会的决定也将为集体诉讼增加大量的燃料。
位于弗吉尼亚州斯特林的SurfWatch Labs,Inc.创始人兼首席架构师杰森·波兰奇(Jason Polancich)证实:“这为针对公司的诉讼打开了大门,这些诉讼可能会持续数年,而且可能会耗费大量资金。如果不优先考虑网络,企业可能会陷入泥潭。”
没有细节
波士顿Goodwin Procter LLP隐私和数据安全业务合伙人Gerry Stegmaier表示,这一决定本身不会带来更好的安全性,但已经在公司中引发了讨论。
然而,目前还不清楚采取合理措施保护客户信息到底意味着什么。
“关键的根本问题——公司必须做什么——将一直存在,直到该机构能够更好地解释法律要求,”他说。“这就像给没有限速标志的超速罚单。”
还有FTC将要求公司采取不一定最有效的措施的风险。
“合规成本将增加,但风险管理是否会变得更好尚不清楚,”他说。“这一决定鼓励企业用小提琴钉钉子,不管这对小提琴是否有好处。”
黑客就是那些非法侵入并窃取数据的人。
但斯蒂格迈尔说,正是这些企业被联邦贸易委员会视为罪犯。
合理的步骤甚至足够?
加利福尼亚州Menlo Park,加利福尼亚洛州的Menlo安全的联合创始人兼首席执行官,裁决对消费者来说,裁决将对消费者产生重大影响。
他说:“已经有许多报告——也没有报告——成功攻击组织的案例,这些组织本可以通过联邦贸易委员会(FTC)在修补和更新方面的审查。”。
这就是网络安全业务的肮脏秘密,他补充道。
“今天没有部署的传统检测的安全系统的组合可以停止攻击,”他说。
这场辩论中的大奖者是安全供应商,期望看到企业变得更加接受新方法 - 以及更大的安全预算。
总部位于加利福尼亚州帕洛阿尔托的Accellion,Inc.的首席产品经理库纳尔·鲁帕尼(Kunal Rupani)说:“当你选择低成本存储敏感数据时,这不是一件好事。FTC正在做正确的事情,确保企业采取必要的措施,确保其客户数据的安全。”
他说,至少,企业需要重新开始,重新思考安全战略。
例如,企业应该承认,传统的围墙花园式的安全方法已经不够了。犯罪分子会破门而入,公司需要在数据本身周围增加保护层。
Suni Munshani,CT基于CT的Pertegrity USA,Inc。首席执行官Suni Munshani表示,这可以通过更广泛的加密。
“如果发生违规行为,未经授权的个人无法理解扰乱数据,”他说。
但所有这些努力都不会白费,他补充道。
“虽然安全公司可能会从这项裁决中受益,但真正的赢家是那些希望其敏感信息得到更好保护的消费者,”他说。
这个故事,“法院:FTC可以采取行动的企业数据漏洞”最初发表CSO .