Відповідальність керівника та співробітника IT компанії

Покладення особистої відповідальності на керівників і співробітників, здається, набирає обертів у спільнотах ІТ та кібербезпеки та на глобальних політичних аренах. Давайте розглянемо кілька прикладів і побачимо, що це може означати для майбутнього кібербезпеки. Ще в 2009 році дані опитування Websense (тепер ForcePoint ) показали, що 30% із 104 опитаних фахівців із безпеки вважали, що лідери компаній повинні нести відповідальність за недоліки, пов’язані з безпекою. Респонденти вказали, що «Генеральним директорам і членам правління загрожує ув’язнення за розкриття конфіденційних даних споживачів». У той час це був досить гарячий погляд на відповідальність і наслідки за порушення даних, чи не так?

Відтоді підтримка цієї ідеї лише зростає. За останні кілька років ми почали бачити реальні кримінальні звинувачення та засудження у відповідь на витік даних. Ми не говоримо про звинувачення проти кіберзлочинців, які здійснюють ці атаки. Ні, ми маємо на увазі судові позови та навіть кримінальні звинувачення проти керівників цільових організацій та інших працівників за явну недбалість або нерозсудливу поведінку.

У 2020 році компанія Gartner передбачила , що до 2024 року три з чотирьох генеральних директорів будуть нести «особисту відповідальність» за кібератаки та інциденти безпеки, пов’язані з системами кіберфізичної безпеки (CPS). Аналітики Gartner прогнозують, що кількість небезпечних або навіть смертельних інцидентів із залученням цих систем збільшиться через невеликі бюджети на кібербезпеку та низький пріоритет захисту цих систем.

У цій статті розглядається кілька прикладів, коли генеральним директорам, керівникам та іншим працівникам IT висунули звинувачення або були засуджені через інциденти кібербезпеки та витоки даних. Давайте розберемося.

Керівники компанії стикаються з дедалі більшою відповідальністю та наслідками

Нерідкі випадки, коли члени вищого керівництва компанії залишають свої посади після витоку даних або іншого серйозного інциденту кібербезпеки (вимушено чи за власним бажанням або з примусу). Ми бачили це після витоку даних Target у 2013 році та витоку даних Sony у 2014 році .

Але в деяких випадках просто оштрафувати, звільнити керівників або змусити їх піти у відставку недостатньо; компанії або державні прокурори можуть вирішити піти далі на основі серйозності проблеми. Це сталося з генеральним директором психотерапевтичної клініки у Фінляндії.

• Колишнього директора фінської психотерапевтичної клініки умовно засудили до в'язниці Вілле Тапіо, колишній генеральний директор нині збанкрутілого психотерапевтичного центру Vastaamo, отримав три місяці умовного терміну в окружному суді Гельсінкі після програшу у справі. У позові стверджувалося, що Тапіо винен у недотриманні вимог Загального регламенту захисту даних (GDPR) щодо шифрування даних і псевдонімізації . Sophos повідомляє, що прокурори стверджували, що він не тільки знав, що захист кібербезпеки компанії був неякісним, але й що Тапіо не вжив заходів або не повідомив про два окремі порушення в 2018 і 2019 роках.

  За даними Sophos, кіберзлочинець, який здійснив злом, використав конфіденційну інформацію, щоб спробувати шантажувати клініку майже на 500 000 доларів. Коли це не вдалося, вони погрожували пацієнтам, кажучи, що кожен повинен заплатити по 200 євро, щоб уникнути оприлюднення своїх особистих файлів. Якщо вони не сплатять протягом 24 годин, комісія подвоїться до 500 євро.

  Сторона обвинувачення просила призначити йому дев'ять місяців умовного покарання, але зрештою його пом'якшили через відсутність у підсудного кримінального минулого. Умовний вирок фактично означає відсутність тюремного терміну, якщо він не буде знову визнаний винним у подібному злочині протягом встановленого періоду.

  Той факт, що Тапіо взагалі стикався з кримінальними звинуваченнями, є великою зміною в галузі. Але те, що він отримав, прирівнюється до ляпаса по зап’ясті порівняно з обвинуваченнями, висунутими наступному керівнику в нашому списку (але я думаю, ми всі можемо стверджувати, що наступний хлопець заслуговує більш суворого покарання).

• Колишнього керівника компанії Uber засуджено за федеральними звинуваченнями У жовтні 2022 року колишній головний спеціаліст служби безпеки Uber Джозеф Салліван був визнаний винним у федеральних звинуваченнях у витоку даних 57 мільйонів пасажирів і водіїв у 2016 році. Офіс прокурора США Північного округу Каліфорнії каже, що йому висунули звинувачення у вересні 2020 року . Зрештою його засудили за звинуваченнями у перешкоджанні правосуддю та навмисному приховуванні витоку даних.

  У звіті Reuters стверджується, що Салліван зайшов настільки далеко, що організував виплату хакерам 100 000 доларів США в біткойнах в обмін на підписання угод про нерозголошення (NDA) щодо інциденту безпеки, заявивши, що вони не крали дані. Це божевілля! У звіті прокуратури за жовтень 2022 року також зазначено, що Саллівану загрожує до восьми років ув’язнення — до п’яти років за перешкоджання та до трьох років за неправомірне ув’язнення. Проте зрештою прокуратура вимагала 15 місяців ув'язнення, і ВВС повідомляє, що Саллівана врешті засудили до :

  • пройти три роки випробувального терміну,
  • сплатити штраф у розмірі 50 000 доларів і
  • виконати 200 годин громадських робіт.

  Але це ще не кінець бід Uber; Федеральна торгова комісія США (FTC) також оголосила про примусові дії проти однієї зі своїх дочірніх компаній, Drizly.

• Drizly та його колишній генеральний директор зазнають примусових дій У жовтні 2022 року FTC подала запропонований примусовий позов проти служби доставки алкоголю та її генерального директора Джеймса Корі Релласа. Компанія не змогла запровадити основні заходи безпеки, наприклад, не змогла захистити критично важливі бази даних або відстежувати загрози безпеці, що в кінцевому підсумку призвело до витоку даних, у результаті чого розкрили особисті дані 2,5 мільйонів споживачів. Компанію та генерального директора було попереджено про різні вразливості системи безпеки за два роки до злому в 2020 році, але вони не вжили заходів. Чиста недбалість? Запропонований примусовий захід має на меті:
  • Обмежити, які персональні дані Drizly може збирати, і вимагайте від них публічного пояснення, чому такий збір необхідний.
  • Змусити компанію знищити будь-які непотрібні дані клієнтів (тобто інформацію, яка не потрібна для надання послуг або продуктів клієнтам).
  • Впровадити комплексну програму інформаційної безпеки та запобіжні заходи, щоб запобігти подібній ситуації в майбутньому. Це включає навчання, контроль доступу та інші заходи безпеки даних споживачів.

  У січні 2023 року наказ із цими вимогами було доопрацьовано . Що стосується Релласа, йому доведеться запровадити подібну програму безпеки в будь-якій майбутній організації, в якій він працюватиме, «якщо він перейде до бізнесу, який збирає інформацію про споживачів від понад 25 000 осіб і де він є мажоритарним власником, генеральним директором, або старший офіцер, який відповідає за інформаційну безпеку». На відміну від колишнього керівника компанії Uber, Релласу не висувається кримінальна відповідальність. Але це підводить нас до важливого питання…

Наслідки витоку даних: чи потрібно нести особисту відповідальність керівників і працівників компанії?

Деякі нормативні акти, такі як GDPR , вимагають від організацій повідомляти наглядовому органу про будь-яке порушення персональних даних , яке може призвести до «ризику для прав і свобод фізичних осіб», протягом 72 годин після того, як стало відомо. Проте все ще існує багато суперечливих почуттів щодо притягнення людей до особистої відповідальності.

Дехто стверджує, що корпорації повинні мати можливість вживати фінансових або судових заходів проти своїх колишніх керівників і співробітників, незалежно від обставин. Інші стверджують , що кожен, хто попався на шахрайство, незалежно від того, чи стався інцидент в особистому чи професійному контексті, повинен розглядатися як жертва. Основне занепокоєння останньої групи полягає в тому, що якщо роботодавці регулярно вживатимуть заходів проти співробітників, які потрапляють на фішинг або інші види кібершахрайства, то ці працівники будуть набагато вагатися повідомляти про такі події через страх, що вони втратять роботу або отримають ляпаса. з позовами.

Це законне занепокоєння? Можливо, тому що були випадки, коли роботодавці вживали судових або фінансових заходів проти колишніх працівників. Але це створює потужний пріоритет, який зрештою визначатиме результати майбутніх справ, пов’язаних із кібербезпекою та витоком даних.

Деякі роботодавці притягують працівників до відповідальності після кіберінцидентів і зломів

Один із таких випадків кілька років тому стався в Шотландії. На Патрицію Рейлі, яка працювала в Peebles Media Group, було пред’явлено позов у ​​розмірі 107 984 фунтів стерлінгів як відшкодування за те, що компанія втратила після того, як вона потрапила на шахрайство з діловою електронною поштою (BEC) у 2015 році. Медіакомпанія з Глазго зрештою програла справу; однак це створило тривожний прецедент для роботодавців, які вирішили подати до суду на своїх колишніх працівників, щоб відшкодувати збитки, спричинені цими сценаріями фішингових атак. (Це добре чи погано? Гадаю, відповідь залежить від того, з якого боку столу ви сидите.)

Але покарання зазнають не тільки працівники нижчого рівня. У 2016 році генерального директора аерокосмічного виробника FACC було звільнено після того, як співробітник перерахував 52,8 мільйона євро після того, як попався на електронний лист генерального директора про шахрайство. Наглядова рада компанії визначила, що Уолтер Стефан, який був виданий в електронному листі генерального директора про шахрайство, якимось чином «серйозно порушив свої обов’язки, зокрема у зв’язку з «інцидентом із фальшивим президентом», але спочатку не вказав, як. Головного фінансового директора компанії також було звільнено протягом кількох місяців після події.

Але на цьому погані новини для обох керівників не закінчилися. У 2018 році компанія пішла далі і подала позов проти колишніх керівників компанії на 11 мільйонів доларів . Однак пізніше справу було відхилено, коли австрійський суд визначив, що «доктор Штефан не виконав своїх наглядових обов’язків».

Зростає рух за особисту відповідальність лідерів

Не дивно, що компанії та державні установи починають займати жорстку позицію щодо атак на кібербезпеку та витоку даних. Практично щодня ми читаємо про нові події кібербезпеки та витоки даних. Target, Home Depot, Equifax , T-Mobile (і, як наслідок, Google Fi ), LastPass — ці інциденти викликали хвилю в галузі, але офіційні особи історично не поспішали реагувати.

Після того, як деякі політичні лідери побачили деякі приголомшливі порушення щелепи, які сталися протягом останнього десятиліття, деяким політичним лідерам було достатньо; тепер вони наполягають на посиленні юридичних покарань для керівників, чиї компанії зазнали серйозних порушень даних.

• У 2018 році запропонована поправка до Закону про Федеральну торгову комісію відкрила двері для жорстких фінансових і юридичних покарань, у тому числі до 20 років кримінального покарання для керівників вищої ланки.
• Закон про підзвітність керівників компаній , який був представлений Сенату США в квітні 2019 року, пропонує тюремне ув’язнення для керівників компаній, які «з недбалості допускають або не запобігають порушенню закону», що «впливає на здоров’я, безпеку, фінанси або особисті дані» не менше 1% населення будь-якої держави чи країни. Перший злочин карався штрафом, позбавленням волі на строк до одного року або обома; за друге або наступне правопорушення, варіант штрафу залишиться, але тюремне ув'язнення може збільшитися до трьох років.

У разі схвалення Закон про корпоративну підзвітність керівників може вплинути на керівників організацій, які зазнають найгірших із найгірших випадків витоку даних (наприклад, Equifax). Але запропоноване законодавство не таке однозначне, як може здатися на перший погляд. Як і у більшості законодавчих пропозицій, тут є застереження. У цьому випадку того, що організація просто стала жертвою витоку даних, недостатньо, щоб вважати порушенням закону; мала б бути доведена недбалість з точки зору запобігання. Як наслідок, більшість порушень даних, швидше за все, не підпадають під цю категорію, тому вони не призведуть до кримінального покарання.

Кібербезпека – це ландшафт, який постійно змінюється. Протягом останніх кількох років ми бачили зміни щодо нового законодавства. Національна стратегія кібербезпеки США , яку нещодавно опублікував Білий дім, закликає перекласти відповідальність за безпеку кіберпростору на «правильні» організації (хто б вони не були). Але, звичайно, нові правила та зміна ставлення також стосуватимуться подій у сфері кібербезпеки та витоку даних.

У всьому світі також тривають суперечки про те, як захищені дані та чи загальні проблеми «суспільної безпеки» та «національної безпеки» переважають над правом на конфіденційність. Деякі уряди наполягають на створенні бекдорів шифрування в ім’я національної безпеки. Але, як і будь-який цифровий бекдор, шифрувальні бекдори лише збільшують ризик того, що зловмисники заволодіють конфіденційними даними.

Отже, як усе це відбуватиметься, якщо ми притягнемо керівників компаній і співробітників до особистої відповідальності, коли лайно потрапляє на шанувальника? Відповідь, ймовірно, залежить від того, які рішення приймаються на цих державних, національних і глобальних аренах.

Нам буде цікаво побачити, куди приведуть нас ці поточні дискусії про кібербезпеку та зміна відповідальності протягом наступних кількох років. Тим часом кожен повинен зробити свій внесок у забезпечення належної безпеки активів своєї компанії, співробітників і клієнтів. Незалежно від того, впроваджуєте ви найкраще у своєму класі рішення з кібербезпеки чи останнім замикаєтеся після миття підлоги, безпека має значення. Це ваш обов'язок.

Casey Crane

Як уникнути відповідальності за сертифікатну "диру" в кібербезпеці для співробітників та керівників IT