Decyzja Wyndham przypomina nam, aby „zacząć od bezpieczeństwa”

Opublikowany: 2015-09-01

Ekosystem cyfrowy powinien zwrócić uwagę na niedawną decyzję amerykańskiego Trzeciego Okręgowego Sądu Apelacyjnego przeciwko Wyndham Worldwide Corporation, która potwierdza prawo FTC do regulowania bezpieczeństwa danych.

Uprawnienia FTC do regulowania prywatności danych nigdy nie były kwestionowane, biorąc pod uwagę szerokie uprawnienia agencji wynikające z sekcji 5 ustawy FTC do nadzorowania „ochrony konsumentów”. Jednak uprawnienie FTC do przepisywania praktyk bezpieczeństwa danych zostało zakwestionowane w sprawach dotyczących dwóch oddzielnych powodów – Wyndham Hotels i Lab MD .

Zanim zagłębimy się w orzeczenie i jak ma ono zastosowanie do firmy zbierającej wrażliwe i osobiste dane od użytkowników końcowych, przyjrzyjmy się odpowiedniemu kontekstowi.

Sprawa FTC przeciwko Wyndham

Hakerzy włamali się do systemów komputerowych Wyndham trzykrotnie w latach 2008-2010, kradnąc informacje o kartach kredytowych od 619 000 osób i ponosząc ponad 10,6 miliona dolarów w nieuczciwych opłatach. Systemy te obejmowały sieci korporacyjne Wyndham, które były połączone z systemami komputerowymi dla ponad 7000 hoteli i franczyzobiorców zarządzanych przez Wyndham. Pomimo tych powtarzających się hacków Wyndham odmówił aktualizacji swoich procedur bezpieczeństwa co spowodowało dodatkowe infiltracje swoich systemów.

W wyniku niewdrożenia tych podstawowych procedur bezpieczeństwa hakerzy byli w stanie zainstalować złośliwe oprogramowanie „wyłuskujące pamięć” w systemach zarządzania siecią korporacyjną i nieruchomościami w hotelach zarządzanych przez firmę Wyndham i hotelach franczyzowych. W ciągu dwóch lat hakerzy systematycznie wydobywali dane osobowe i wrażliwe (nazwiska, adresy, numery kart kredytowych) ponad 600 000 osób i nielegalnie eksportowali te dane do domeny zarejestrowanej w Rosji.

W odpowiedzi FTC wniosła pozew, argumentując, że wielokrotna odmowa przez Wyndham wdrożenia rozsądnych środków bezpieczeństwa danych, przy jednoczesnym dalszym zbieraniu danych wrażliwych i danych osobowych (w tym danych kart kredytowych i innych informacji rozliczeniowych) od indywidualnych użytkowników końcowych, była „nieuczciwa” zgodnie z sekcją 5.

Ponadto FTC stwierdziła, że ​​nieprzyjęcie tych podstawowych procedur bezpieczeństwa danych było „zwodnicze” zgodnie z sekcją 5, ponieważ Wyndham obiecał w swojej polityce prywatności, że zastosuje „standardowe” środki bezpieczeństwa w celu ochrony danych osobowych i wrażliwych.

Możesz dowiedzieć się więcej o tle sprawy w tej znakomitej aktualizacji autorstwa @JanisKestenbaum z Perkins Coie .

Jak Wyndham nie zabezpieczył swojej sieci

Skarga FTC wyszczególnia niektóre z wielu rzeczy, których Wyndham nie zrobił, aby zabezpieczyć swoją sieć :

  • niestosowanie łatwo dostępnych środków bezpieczeństwa w celu zabezpieczenia wewnętrznych systemów komputerowych, np. zapór sieciowych;
  • nieprawidłowa konfiguracja oprogramowania, a w rezultacie przechowywanie informacji o kartach kredytowych użytkowników końcowych w postaci zwykłego tekstu;
  • nie zajęcie się znanymi lukami w zabezpieczeniach serwerów;
  • używanie domyślnych nazw użytkownika i haseł dostępu do serwerów;
  • niewymaganie od pracowników korzystania ze złożonych identyfikatorów użytkowników i haseł w celu uzyskania dostępu do serwerów firmowych;
  • brak racjonalnego ograniczenia dostępu stron trzecich do sieci i komputerów firmowych.

FTC argumentowała, że ​​takie praktyki są standardem wśród firm zbierających dane osobowe i wrażliwe – i że niestosowanie takich praktyk, nawet po trzech kolejnych włamaniach, jest nieuczciwe.

Przemawia trzeci obwód

W odpowiedzi na powództwo FTC Wyndham złożył pozew w sądzie okręgowym, zarzucając między innymi, że FTC nie miała uprawnień do wszczęcia postępowania w sprawie ochrony danych. Twierdził również, że FTC nie określiła odpowiednio, jakie są „rozsądne” praktyki w zakresie bezpieczeństwa danych.

Po przegraniu tego roszczenia w sądzie rejonowym, Wyndham odwołał się do Trzeciego Okręgu. Orzeczenie Trzeciego Okręgu odpowiedziało orzeczeniem, które jest dość krytyczne wobec Wyndham i daje nikłe podstawy do wniesienia apelacji do Sądu Najwyższego zgodnie z zasadą „ Certiorari ”.

Opinia Trybunału odpowiadała na dwa ważne pytania postawione przez Wyndham:

  1. FTC ma na mocy Ustawy FTC uprawnienia do wszczynania działań w zakresie bezpieczeństwa danych przeciwko firmom, które nie stosują „rozsądnych” praktyk w zakresie bezpieczeństwa danych.
  2. FTC odpowiednio poinformowała branżę o tym, co stanowi „rozsądne” bezpieczeństwo danych . W tym miejscu Sąd przyjrzał się argumentom FTC w licznych skargach przeciwko pozwanym, którzy niewłaściwie zabezpieczyli dane zebrane od użytkowników końcowych i klientów. Przyjrzeli się również opublikowanym wskazówkom FTC, które opierają się głównie na najlepszych praktykach branżowych w celu sformułowania standardu.

Trzeci Okręg nie zajął się konkretną kwestią, czy działania Wyndham były rzeczywiście „nieuzasadnione” w oparciu o wytyczne FTC – pytanie to zostanie skierowane przez sąd okręgowy New Jersey, któremu sprawa została teraz przekazana.

Jeśli dotarłeś do tego punktu w poście, to gratulacje, tutaj rzeczy stają się interesujące i, miejmy nadzieję, istotne dla Ciebie.

Co oznacza rozsądne bezpieczeństwo danych dla Twojej firmy?

Zgodnie z analizą Trzeciego Okręgu FTC poinformowała firmy o tych praktykach w wystarczającym stopniu, które uznają za „rozsądne” w zakresie zabezpieczania danych osobowych i wrażliwych – poprzez ugody z licznymi pozwanymi, a także publikowane wytyczne dla branży.

W rzeczywistości FTC przedstawiła szczegółowe wskazówki dotyczące praktyk „rozsądnego bezpieczeństwa danych” dla twórców aplikacji mobilnych w swoim przewodniku Start with Security .

„Nie ma listy kontrolnej do zabezpieczania wszystkich aplikacji. Różne aplikacje mają różne potrzeby w zakresie bezpieczeństwa. Na przykład aplikacja z budzikiem, która zbiera niewiele danych lub nie zbiera ich wcale, prawdopodobnie spowoduje mniej kwestii związanych z bezpieczeństwem niż sieć społecznościowa oparta na lokalizacji. Bardziej złożone aplikacje mogą polegać na zdalnych serwerach do przechowywania i manipulowania danymi użytkowników, co oznacza, że ​​programiści muszą być zaznajomieni z zabezpieczaniem oprogramowania, zabezpieczaniem transmisji danych i zabezpieczaniem serwerów. Dodając do wyzwania: zagrożenia bezpieczeństwa i najlepsze praktyki szybko ewoluują”.

Innymi słowy, FTC oczekuje, że twórcy aplikacji przyjmą i utrzymają rozsądne praktyki bezpieczeństwa danych w oparciu o rodzaj gromadzonych danych i sposób ich wykorzystywania. Nie zalecają uniwersalnego podejścia.

Nadszedł więc dobry moment na sporządzenie spisu danych i praktyk bezpieczeństwa, aby ustalić, czy są one „rozsądne” w świetle gromadzonych danych oraz sposobu ich wykorzystywania i udostępniania. Warto zapoznać się z przewodnikiem FTC „ Rozpocznij z bezpieczeństwemi ustalić, czy te kroki dotyczą Ciebie.

W szczególności FTC nakłania firmy gromadzące dane osobowe i wrażliwe do wykonania następujących czynności:

  • Uczynić kogoś odpowiedzialnego za bezpieczeństwo.
  • Zrób bilans danych, które zbierasz i przechowujesz.
  • Ćwicz minimalizację danych : nie zbieraj ani nie przechowuj danych, których nie potrzebujesz.
  • Zbadaj i poznaj praktyki bezpieczeństwa platform mobilnych, z którymi współpracujesz.
  • Chroń swoje serwery. Jeśli utrzymujesz serwer, który komunikuje się z Twoją aplikacją, zastosuj odpowiednie środki bezpieczeństwa, aby go chronić. Jeśli polegasz na komercyjnym dostawcy chmury, zrozum podział odpowiedzialności za zabezpieczanie i aktualizowanie oprogramowania na serwerze.
  • Jeśli masz do czynienia z danymi finansowymi, zdrowotnymi lub danymi dzieci, upewnij się, że rozumiesz obowiązujące normy i przepisy . Więcej informacji na temat rodzajów przepisów i ram branżowych, które mają zastosowanie, można znaleźć na niedawno uruchomionej mikrowitrynie poświęconej ochronie prywatności i danych TUNE .
  • Poinformuj o swoich praktykach dotyczących bezpieczeństwa, danych i prywatności oraz „rozmawiaj z użytkownikami własnymi słowami”.
  • Bezpiecznie generuj poświadczenia (nazwy użytkownika, hasła).
  • Nie przechowuj ani nie przesyłaj poufnych danych w postaci zwykłego tekstu . Używaj szyfrowania tranzytu dla danych rozliczeniowych i innych ważnych danych. FTC wniosła powództwa przeciwko Lifelock, RockYou i ValueClick o przechowywanie i przesyłanie danych w postaci zwykłego tekstu.
  • Szyfrowanie tranzytu i przechowywania jest również istotne ze względu na zgodność ze stanowymi ustawami o naruszeniu danych – które wymagają zgłoszenia prokuratorowi generalnemu stanu i użytkownikom końcowym w przypadku naruszenia „danych osobowych”. Dane osobowe zgodnie z prawem Kalifornii i innych stanów obejmują dane niezaszyfrowane – dane przechowywane w postaci zwykłego tekstu, np. informacje o karcie kredytowej, adres e-mail zapisany z hasłem.
  • Pozostań w kontakcie z aplikacją po jej uruchomieniu. Codziennie pojawiają się nowe luki w zabezpieczeniach, a nawet najbardziej renomowane biblioteki oprogramowania wymagają aktualizacji zabezpieczeń.

Zacznij więc od bezpieczeństwa

Decyzja Third Circuit przeciwko Wyndham jest ważnym przypomnieniem, że wszystkie firmy zajmujące się danymi osobowymi i wrażliwymi powinny dokonać przeglądu swoich praktyk dotyczących danych i bezpieczeństwa. Naruszenie takich danych może prowadzić do odpowiedzialności FTC, pozwów zbiorowych, a co najważniejsze, utraty zaufania z użytkownikami końcowymi.

Czy to ryzyko, które jesteś gotów podjąć? Jeśli nie, to ma sens „Zacznij od bezpieczeństwa” już dziś.

Dodatkowy ważny zasób:

Jeśli chcesz uzyskać jeszcze bardziej szczegółowe informacje na temat „rozsądnego” bezpieczeństwa danych i tego, jak może ono odnosić się do Twojej firmy, warto zapoznać się z „Wspólnym prawem prywatności” autorstwa znanych badaczy prywatności Dana Solove'a i Woody'ego Hartzoga. Bada, w jaki sposób FTC była w stanie ukształtować współczesne amerykańskie prawo dotyczące prywatności poprzez „dekrety zgody” , tj. ugody, które wymagają od firmy wykonania określonych czynności przez określony czas (zwykle 20 lat). Obejmuje to dekret dotyczący zgody na bezpieczeństwo danych przeciwko firmie Microsoft (w przypadku usługi Passport); agencja ma teraz dekrety dotyczące zgody na prywatność z Facebookiem (w związku ze zmianami polityki prywatności w 2009 r.) i Google (w związku z uruchomieniem Buzza w 2010 r.).

Źródło zdjęcia: @dcillustrated

Podoba Ci się ten artykuł? Zarejestruj się, aby otrzymywać e-maile z podsumowaniem naszego bloga.