Keputusan Wyndham Mengingatkan Kita Untuk “Memulai dengan Keamanan”

Diterbitkan: 2015-09-01

Ekosistem digital harus memperhatikan keputusan terbaru dari Pengadilan Banding Sirkuit Ketiga AS terhadap Wyndham Worldwide Corporation, yang menegaskan hak FTC untuk mengatur keamanan data.

Kewenangan FTC untuk mengatur privasi data tidak pernah diragukan, mengingat mandat luas badan tersebut di bawah bagian 5 dari Undang-Undang FTC untuk mengawasi "perlindungan konsumen". Tetapi otoritas FTC untuk meresepkan praktik keamanan data telah dipertanyakan dalam kasus yang melibatkan dua penggugat terpisah – Wyndham Hotels dan Lab MD .

Sebelum kita mempelajari keputusan tersebut dan bagaimana penerapannya pada perusahaan yang mengumpulkan data sensitif dan pribadi dari pengguna akhir, mari kita tinjau latar belakang yang relevan.

Kasus FTC melawan Wyndham

Peretas melanggar sistem komputer Wyndham tiga kali antara tahun 2008 dan 2010, mencuri informasi kartu kredit dari 619.000 orang, dan menimbulkan biaya penipuan lebih dari $10,6 juta. Sistem ini termasuk jaringan korporat Wyndham, yang terhubung dengan sistem komputer untuk lebih dari 7.000 hotel dan pewaralaba yang dikelola Wyndham. Terlepas dari peretasan berulang ini, Wyndham menolak memperbarui prosedur keamanannya yang mengakibatkan infiltrasi tambahan ke sistemnya.

Akibat tidak menerapkan prosedur keamanan dasar ini, peretas dapat memasang malware "pengikisan memori" di jaringan perusahaan dan sistem manajemen properti untuk hotel yang dikelola dan diwaralabakan oleh Wyndham. Selama periode dua tahun, para peretas secara sistematis mengekstrak informasi pribadi dan sensitif (nama, alamat, nomor kartu kredit) untuk lebih dari 600.000 individu, dan secara ilegal mengekspor data tersebut ke domain yang terdaftar di Rusia.

Sebagai tanggapan, FTC mengajukan tindakan, dengan alasan bahwa penolakan berulang Wyndham untuk menerapkan langkah-langkah keamanan data yang wajar, sambil terus mengumpulkan data sensitif dan pribadi (termasuk kartu kredit dan informasi penagihan lainnya) dari pengguna akhir individu, adalah “tidak adil” berdasarkan bagian 5.

Lebih lanjut, FTC menemukan bahwa tidak mengadopsi prosedur keamanan data dasar ini "menipu" berdasarkan Bagian 5, karena Wyndham berjanji dalam kebijakan privasinya bahwa ia akan menggunakan langkah-langkah keamanan "standar" untuk melindungi data pribadi dan sensitif.

Anda dapat mempelajari lebih lanjut tentang latar belakang kasus ini dalam pembaruan luar biasa ini oleh @JanisKestenbaum dari Perkins Coie .

Bagaimana Wyndham gagal mengamankan jaringannya

Keluhan FTC merinci beberapa dari banyak hal yang tidak dilakukan Wyndham untuk mengamankan jaringannya:

  • gagal menggunakan langkah-langkah keamanan yang tersedia untuk mengamankan sistem komputer internalnya, misalnya firewall;
  • mengonfigurasi perangkat lunak secara tidak benar, dan akibatnya, menyimpan informasi kartu kredit pengguna akhir dalam teks yang jelas;
  • gagal mengatasi kerentanan keamanan yang diketahui di server;
  • menggunakan nama pengguna dan kata sandi default untuk akses ke server;
  • gagal mewajibkan penggunaan ID pengguna dan kata sandi yang rumit oleh karyawan untuk mengakses server perusahaan;
  • gagal membatasi akses pihak ketiga secara wajar ke jaringan dan komputer perusahaan.

FTC berpendapat bahwa praktik semacam itu adalah standar di antara bisnis yang mengumpulkan data pribadi dan sensitif – dan bahwa dengan tidak mengadopsi praktik tersebut, bahkan setelah tiga peretasan berturut-turut, tindakan Wyndham tidak adil.

Sirkuit Ketiga Berbicara

Sebagai reaksi atas tindakan FTC, Wyndham mengajukan gugatan di pengadilan distrik dengan tuduhan, antara lain, bahwa FTC tidak memiliki wewenang untuk melakukan tindakan keamanan data. Ia juga berpendapat bahwa FTC tidak cukup mengidentifikasi apa yang "masuk akal" praktik keamanan data.

Setelah kehilangan klaim ini di pengadilan distrik, Wyndham mengajukan banding ke Sirkuit Ketiga. Putusan Sirkuit Ketiga menanggapi dengan putusan yang cukup kritis terhadap Wyndham dan memberikan dasar tipis untuk banding Mahkamah Agung di bawah prinsip " Certiorari ."

Pendapat Pengadilan menjawab dua pertanyaan penting yang diajukan oleh Wyndham:

  1. FTC memiliki wewenang berdasarkan Undang -Undang FTC untuk melakukan tindakan keamanan data terhadap perusahaan yang tidak menerapkan praktik keamanan data yang “wajar”.
  2. FTC telah memberikan pemberitahuan yang memadai kepada industri tentang apa yang merupakan keamanan data yang “wajar” . Pada titik ini, Pengadilan melihat argumen FTC dalam berbagai pengajuan terhadap terdakwa yang tidak benar mengamankan data yang mereka kumpulkan dari pengguna akhir dan pelanggan. Mereka juga melihat panduan yang diterbitkan FTC, yang terutama didasarkan pada praktik terbaik industri untuk mengartikulasikan standar.

Sirkuit Ketiga tidak menjawab pertanyaan spesifik apakah tindakan Wyndham memang "tidak masuk akal" berdasarkan panduan FTC - pertanyaan itu akan dijawab oleh pengadilan distrik New Jersey kepada siapa kasus tersebut sekarang telah diserahkan.

Jika Anda telah mencapai titik ini dalam posting, maka selamat, di sinilah hal-hal menarik dan mudah-mudahan relevan untuk Anda.

Apa Arti Keamanan Data yang Wajar bagi Bisnis Anda?

Berdasarkan analisis Sirkuit Ketiga, FTC telah memberikan perusahaan pemberitahuan yang cukup tentang praktik-praktik yang mereka anggap "masuk akal" ketika datang untuk mengamankan data pribadi dan sensitif - melalui penyelesaian dengan banyak terdakwa, serta panduan yang diterbitkan untuk industri.

Faktanya, FTC telah memberikan panduan khusus tentang praktik “keamanan data yang wajar” untuk pengembang aplikasi seluler dalam panduan Mulai dengan Keamanan .

“Tidak ada daftar periksa untuk mengamankan semua aplikasi. Aplikasi yang berbeda memiliki kebutuhan keamanan yang berbeda. Misalnya, aplikasi jam alarm yang mengumpulkan sedikit atau tidak sama sekali data kemungkinan akan meningkatkan pertimbangan keamanan yang lebih sedikit daripada jaringan sosial berbasis lokasi. Aplikasi yang lebih kompleks mungkin mengandalkan server jarak jauh untuk menyimpan dan memanipulasi data pengguna, artinya pengembang harus terbiasa dengan mengamankan perangkat lunak, mengamankan transmisi data, dan mengamankan server. Menambah tantangan: Ancaman keamanan dan praktik terbaik berkembang dengan cepat.”

Dengan kata lain, FTC mengharapkan pengembang aplikasi untuk mengadopsi dan memelihara praktik keamanan data yang wajar berdasarkan jenis data yang mereka kumpulkan dan bagaimana mereka menggunakan data tersebut. Mereka tidak meresepkan pendekatan satu ukuran untuk semua.

Jadi, inilah saat yang tepat untuk menginventarisasi data dan praktik keamanan Anda untuk menentukan apakah praktik tersebut “masuk akal” berdasarkan data yang Anda kumpulkan dan cara Anda menggunakan dan membagikan data tersebut. Sebaiknya lihat panduan Mulai dengan Keamanan FTC dan tentukan apakah langkah-langkah ini berlaku untuk Anda.

Secara khusus, FTC mendesak perusahaan yang mengumpulkan data pribadi dan sensitif untuk melakukan hal berikut:

  • Buat seseorang yang bertanggung jawab atas keamanan.
  • Catat data yang Anda kumpulkan dan simpan.
  • Latih minimisasi data : Jangan mengumpulkan atau menyimpan data yang tidak Anda perlukan.
  • Teliti dan pahami praktik keamanan platform seluler tempat Anda bekerja.
  • Lindungi server Anda. Jika Anda memelihara server yang berkomunikasi dengan aplikasi Anda, lakukan tindakan keamanan yang sesuai untuk melindunginya. Jika Anda mengandalkan penyedia cloud komersial, pahami pembagian tanggung jawab untuk mengamankan dan memperbarui perangkat lunak di server.
  • Jika Anda berurusan dengan data keuangan, data kesehatan, atau data anak, pastikan Anda memahami standar dan peraturan yang berlaku . Anda dapat menemukan detail lebih lanjut tentang jenis undang-undang dan kerangka kerja industri yang berlaku di situs mikro privasi dan data TUNE yang baru saja diluncurkan .
  • Berikan pemberitahuan tentang praktik keamanan, data, dan privasi Anda dan “bicarakan dengan pengguna Anda dengan kata-kata Anda sendiri”.
  • Hasilkan kredensial (nama pengguna, kata sandi) dengan aman.
  • Jangan menyimpan atau mengirimkan data sensitif dalam teks biasa . Gunakan enkripsi transit untuk data penagihan, dan data penting lainnya. FTC telah mengambil tindakan terhadap Lifelock, RockYou dan ValueClick untuk penyimpanan dan transmisi data teks biasa.
  • Enkripsi transit dan penyimpanan juga relevan untuk kepatuhan terhadap undang-undang pelanggaran data negara bagian – yang mengharuskan Anda melapor ke Jaksa Agung negara bagian dan pengguna akhir ketika “data pribadi” dilanggar. Data pribadi menurut undang-undang California dan negara bagian lainnya termasuk data yang tidak terenkripsi – data yang disimpan dalam teks biasa, misalnya informasi kartu kredit, alamat email yang disimpan dengan kata sandi.
  • Tetap terlibat dengan aplikasi Anda setelah diluncurkan. Kerentanan baru muncul setiap hari, dan bahkan perpustakaan perangkat lunak paling terkemuka pun memerlukan pembaruan keamanan.

Jadi, Mulailah dengan Keamanan

Keputusan Sirkuit Ketiga terhadap Wyndham merupakan pengingat penting bahwa semua perusahaan yang berurusan dengan data pribadi dan sensitif harus meninjau data dan praktik keamanan mereka. Pelanggaran data tersebut dapat menyebabkan kewajiban FTC, tuntutan hukum class action, dan yang paling penting hilangnya kepercayaan dengan pengguna akhir Anda.

Apakah ini risiko yang bersedia Anda ambil? Jika tidak, maka masuk akal untuk "Mulai dengan Keamanan" hari ini.

Sumber daya penting tambahan:

Jika Anda ingin mendapatkan lebih banyak rincian tentang apa itu keamanan data yang "masuk akal" dan bagaimana hal itu dapat diterapkan pada bisnis Anda, maka ada baiknya memeriksa "Hukum Umum Privasi" oleh pakar privasi terkenal Dan Solove dan Woody Hartzog. Ini mengeksplorasi bagaimana FTC telah mampu membentuk undang-undang privasi AS modern melalui "keputusan persetujuan" yaitu penyelesaian yang mengharuskan perusahaan untuk melakukan tindakan spesifik tertentu untuk jangka waktu tertentu (biasanya 20 tahun). Ini termasuk keputusan persetujuan keamanan data terhadap Microsoft (untuk Passport); agensi tersebut sekarang memiliki keputusan persetujuan privasi dengan Facebook (atas perubahan kebijakan privasi 2009) dan Google (selama peluncuran Buzz 2010).

Kredit foto: @dcillustrated

Suka artikel ini? Mendaftar untuk email intisari blog kami.