这还不是一个公共问题。但多位专家表示,情况将会如此。
“It”指的是网络安全告密者——员工发现公司网络安全存在缺陷,将问题上报给管理层,但却被忽视或处罚——被边缘化、被骚扰、被降职甚至被解雇。
然后员工要么公开上市,要么向美国证券交易委员会(SEC)等联邦监管机构投诉。
这种情况不太可能有好结果——几乎可以肯定的是,对于该公司(如果投诉是可信的),甚至对于举报人(尽管有旨在保护他们的法律)来说都是如此。
该公司可能面临罚款和其他监管措施。员工,谁在某些情况下可能会得到回报(美国证券交易委员会提供了10%到30和解的超过100万$的百分之“合格”告密者),还可能会发现它损害到了职业生涯。
[另就民政事务总署:告密者在使用美国政府网站时面临风险]
“想想吧。如果你被归类为告密者,它会给你贴上无法就业的标签,”一位不愿透露姓名的专家说。
另一位专家,谁也拒绝归属说话,说,当他拒绝证明,他以前的雇主是满足一定的安全标准,“我得到了警告,并最终辞职。它成为一个敌对的工作环境“。
他也从未向监管机构或其他外部机构提及此事。
埃迪·施瓦茨,ISACA的国际副总裁兼WhiteOps的总裁,他说他知道一个民族国家的黑客发生和雇员报告说,它向他的上级的情况下的。
“他被告知要管好自己的事,该组织正在处理此事。事实并非如此,当他向当局报告时,他实际上因此被解雇了。”施瓦茨说道。
埃迪·施瓦茨ISACA的国际副总裁,WhiteOps总裁
因此,目前有关网络安全举报者案件预计会增加的说法多少有些推测性,部分原因是出于保密。到目前为止,还没有涉及他们的公开案件记录,尽管大多数企业已经在网上存在了20年甚至更长时间。
他们确实存在,根据黛布拉·卡茨,在卡茨,马歇尔和银行的创始合伙人。她说,她的公司已经代表了大约十几这样的告密者,但这些案件,“在诉前阶段结算,包含强大的保密规定。”换句话说,他们是不公开。
缺乏明确性的第二个原因是,它仍然是一个相对较新的法律领域。卡茨说:“所有联邦机构——不仅仅是美国证券交易委员会——都在追赶潮流,使他们的政策与网络安全威胁的严重性保持一致。”
黛博拉•卡茨卡茨-马歇尔银行(Katz, Marshall & Banks)创始合伙人
这意味着没有多少法律历史、先例,甚至没有专门针对网络安全告密者的法律。
虽然在提供领域从石棉到饮用水,固体废物,铁路,汽车,集装箱,管道航空,消费类产品,危险废物,食物,药品和更举报人保护的各种状态近两打法律,没有什么上为那些涉及网络安全的具体保护的书籍。
尽管如此,像卡茨这样专门处理举报者案件的律师说,组织的高层管理人员可能也需要奋起直追,因为这类案件可能会导致破坏性的违规或监管机构的调查——或者两者兼而有之。
专家们说,虽然法律保护对于网络安全泄密者来说可能并不明确,但它们是通过暗示而存在的。加州大学伯克利分校研究小组董事总经理、CSO撰稿人兰斯·海登(Lance Hayden)是引用a结算去年9月,美国证交会与R.T. Jones Capital Equities Management因被指控违反了“保障规则”,导致约10万人的信息泄露。
虽然高盛没有承认这些指控,但它同意接受SEC的指控,并支付7.5万美元罚款。
没有证据证明举报人参与了这起案件,但是海登写了它成为“一种催化剂,”对于SEC专注于网络安全。
他援引美国证券交易委员会委员卡拉·斯坦在R.T.琼斯达成和解协议后的话说,该机构打算“……在帮助企业更好地保护自己免受日益增多的网络安全问题影响方面发挥更加积极的作用……”
达拉斯锤,与祖克曼法律师,编写了国家法律评论,说过琼斯一案表明,“网络安全问题已成为美国证券交易委员会的一项关键执法重点”,这意味着“反过来,涉及网络安全的举报人举报可能会受到额外的审查”。