前国土安全部官员说解决Patco网上银行诉讼证明责任比立法
开先例的情况下在电子银行的世界指向一个更好的方法来保护国家关键基础设施的网络攻击,据一位前国土安全部(DHS)官员。
保罗•Rosenzweig国土安全部的创始人和前助理国务卿政策红色分支法律和咨询,说最近Patco建设诉解决人民银行联合展示了民事诉讼迫使银行提高网络安全实践。如果这可以发生在金融行业,它也可以发生在一个关键基础设施运营商,他说,比联邦网络安全立法或更有效的监管。
“从长远来看,民事侵权/合同责任制度将开发工作更有效和灵活——将成本强加给那些工作网络安全努力以一种不合理的方式,”罗森茨维格中写道最近文章法战。
Patco的情况下,公司,一个小的房地产开发和承包商在桑福德,缅因州,起诉人民联合授权六欺诈从其账户提款2009年5月,总计588851美元,即使在银行的安全系统标记每个事务为高风险。
欺诈性交易——七分之六天——来自电脑Patco从未使用过,从一个IP地址不被认为是Patco,和是由几个震级大于任何Patco以前给第三方。这笔钱是要人们Patco从未支付。银行能够阻止或恢复总额243406美元。
美国上诉法院第一电路执政7月3日是联邦法院第一次发现银行的电子交易安全程序未能满足标准要求的统一商业代码(UCC)作为“商业上合理的,”将银行损失欺诈。
法庭没有要求银行赔偿损失。相反,它发回再审回到地方法院级别,但是强烈建议当事人通过协议解决这个问题。”
上个月底,决议,与银行同意支付Patco黑客,失去所有的钱加上大约45000美元的利息。即使这是一个解决而不是判断,Rosenzweig告知社会网络它“树立了一个不错的先例,因为它建立了一个广泛的原则是商业上合理的。”
(见相关:抢劫再次强调了电子银行的漏洞]
在所有诉讼“重要的是你可以把你的帽子,”他说。
“正确的方式来开发网络安全性能标准通过关闭[是],fact-bound和发育过程中,”他写道。
并不是每个人都相信。Rosenzweig Stewart Baker的前老板当他第一次为政策国土安全部部长助理,现在Steptoe & Johnson律师事务所,说:“民事诉讼必须是人类已知的最慢的立法形式,除了条约谈判,”他说。
贝克说,立法设定了网上银行安全、标准”,并允许法院决定什么是商业上合理的。”
“我看到一个标准的吸引力,随着威胁和不规范的,细粒度的要求,很容易变得过时,”他说。“但有问题的方法。的时候连法官都看到无理性的实践中,很多伤害已经造成。”
Rosenzweig赞同这一点,但说它不破坏他的观点。“同样的事情(延迟)是真实的法规或法律,”他说。“当然不好的事情会发生在你等待完成。”
贝克说,他同意,关键基础设施会更安全的今天,如果其运营商负责不符合标准的类似于“商业不合理。”
“但是我希望商会会吓坏了在这样一个提议,”他说。
乔尔·哈丁,一个退休的军事情报官员和信息作战专家表示,诉讼的威胁有可能推动关键基础设施运营商采取更多措施来保护数据。
但他表示:“它不会提供一个系统的理解和预测威胁之前,不可逆转地破坏一个公司,两家公司甚至更多的”他说。“没有办法阻止公司的声誉的损失,收入和其他资源,尽管他们尽最大的努力来保护这些数据,从这一威胁从未见过的。”
”,只能通过立法,规定与政府的信息共享,”他说。”这两种方法是必要的。一个提供动力来保护数据。第二个是必要的保护数据和预测发展的威胁。”
如果奥巴马总统这件事可能有些争议问题一项行政命令,实现的许多规定2012年网络安全法案(CSA)两次失败在参议院投票表决——首先,上个月,8月总统大选后不久。
根据泄露的草案,表明总统行政命令将呼吁“自愿”安全标准cirtical基础设施运营商。
多数专家认为他们将“自愿”只是名义上的。“我称之为“柯里昂阁下”标准,”罗森茨维格说。“他们一个你无法拒绝的条件。”
阅读更多关于数据保护CSOonline数据保护的部分。
这个故事,“民事诉讼:一个更好的方法来提高网络安全?”最初发表的方案 。