美国上诉法院裁定,联邦贸易委员会保护消费者免受欺诈性、欺诈性和不公平商业行为侵害的规定,延伸到了对企业网络安全努力和失误的监督。但安全专家们对这一决定是否有助于提高企业安全存在分歧。
“这不仅是恰当的,但关键的是,美国联邦贸易委员会已经采取行动,消费者的名义当企业未能采取合理的措施来保护敏感的消费信息的能力,”联邦贸易委员会委员长伊迪丝·拉米雷斯在一份声明中说。
具体来说,上周的决定允许联邦贸易委员会对温德姆酒店和度假村采取行动,原因是在2008年至2010年期间,黑客入侵三次,窃取了60多万个银行卡号码,未能合理保护消费者的个人信息。
再加上今年夏天的另一项法院判决,允许对违反规定的公司提起集体诉讼,这一裁决意味着数据泄露的代价将大大增加。
压力作用
显然,鉴于数据泄露事件不断发生,而且破坏性越来越大,我们需要采取一些措施。
“每个人都希望看到更多的事,”埃里克照,总裁和共同创始人在山景城总部位于加州HyTrust公司,云安全自动化公司说。“允许公司警察自己没有奏效。”
据Chiu说,经济和财务动机还不够,公司还没有自我控制,消费者为此付出了代价。他说,联邦贸易委员会的介入对消费者来说是个好消息。
“政府现在将穿上公司更大的压力,以落实安全的适当水平,”他说。“这给了美国联邦贸易委员会有更多权力,采取行动对付那坦率地说有微弱的安全实践的公司。”
多伦多BrandProtect Inc.的首席营销官曼库西-恩加罗(Greg Mancusi-Ungaro)说,这项裁决让FTC有了更多的话语权,这是件好事。
他补充说,牙齿是否足够还需要一段时间。
但他说,联邦贸易委员会征收的实际罚款只是一个开始,因为联邦贸易委员会的决定也将为集体诉讼增添实质性的动力。
Sterling, Vir公司的创始人兼首席架构师Jason Polancich证实:“这为针对公司的诉讼打开了大门,这些诉讼可能持续数年,可能会耗费大量资金。”SurfWatch Labs, Inc。“如果企业不优先考虑网络,就会发现自己陷入了这一泥潭。”
没有细节
总部位于波士顿的宝洁公司(Goodwin Procter LLP)负责隐私和数据安全业务的合伙人格里•施泰格迈尔(Gerry Stegmaier)说,这一决定本身不会带来更好的安全性,但它已经在企业中引发了讨论。
然而,我们并不清楚采取合理措施来保护客户信息的确切含义。
“关键的根本问题——企业必须做什么——将一直存在,直到该机构能够更好地解释法律的要求,”他表示。“这就像给超速罚单却没有限速标志。”
还有的是,FTC将要求公司采取的不一定是最有效的措施的风险。
他表示:“合规成本将增加,但风险管理是否会变得更好尚不清楚。”“这个决定鼓励企业用小提琴钉钉子,不管这对小提琴是否有好处。”
黑客是那些非法闯入和窃取数据的人。
但Stegmaier说,被联邦贸易委员会当作罪犯对待的是这些企业。
合理的步骤,甚至还不够吗?
有什么证据,这一裁决将对消费者显著差异,阿米尔·本 - 埃夫拉伊姆,联合创始人兼首席执行官总部位于加州Menlo Park的门洛帕克保安说。
他说:“已经有很多报道和未报道的针对组织的成功攻击案例,这些攻击本可以通过联邦贸易委员会的补丁和更新审查。”
他还说,这是网络安全行业的肮脏秘密。
“今天部署的传统,基于检测安全系统的任何组合可以阻止攻击,”他说。
在这场辩论中的大赢家是安全厂商,谁是期待看到企业变得更容易接受新的方法 - 和更大的安全预算。
“当你选择低成本存储敏感数据时,这不是一件好事,”位于加州帕洛阿尔托的Accellion公司的首席产品经理Kunal Rupani说。“FTC的做法是正确的,它确保企业采取必要措施,确保客户数据的安全。”
他说,至少企业需要重新考虑他们的安全战略。
例如,企业应该承认,传统的围墙花园式的安全方法已经不够了。犯罪分子会破门而入,公司需要在数据本身周围增加层层保护。
这可能是通过广泛采用的加密,以基于CT-斯坦福,Protegrity USA,Inc.的首席执行官苏尼Munshani说
“在违约的情况下,加扰的数据不能被未经授权的个人理解,”他说。
但他补充说,所有这些努力都不会白费。
他说:“虽然安全公司可能会从这一裁决中获益,但真正的赢家是那些希望自己的敏感信息得到更好保护的消费者。”
这个故事,“法院:美国联邦贸易委员会可以采取措施对企业数据泄露”最初发表CSO 。