Решение Wyndham напоминает нам о необходимости «начать с безопасности»

Опубликовано: 2015-09-01

Цифровая экосистема должна обратить внимание на недавнее решение Третьего окружного апелляционного суда США против Wyndham Worldwide Corporation, которое подтверждает право FTC регулировать безопасность данных.

Полномочия FTC по регулированию конфиденциальности данных никогда не вызывали сомнений, учитывая широкие полномочия агентства в соответствии со статьей 5 Закона о FTC по надзору за «защитой прав потребителей». Но полномочия FTC предписывать методы защиты данных были поставлены под сомнение в делах с участием двух отдельных истцов — Wyndham Hotels и Lab MD .

Прежде чем мы углубимся в решение и то, как оно применяется к компании, собирающей конфиденциальные и личные данные от конечных пользователей, давайте рассмотрим соответствующую предысторию.

Дело FTC против Wyndham

Хакеры трижды взламывали компьютерные системы Wyndham в период с 2008 по 2010 год, похитив информацию о кредитных картах 619 000 человек и понеся мошеннические платежи на сумму более 10,6 миллиона долларов. Эти системы включали корпоративные сети Wyndham, которые были связаны с компьютерными системами более 7000 отелей и франчайзи, управляемых Wyndham. Несмотря на эти неоднократные взломы, Wyndham отказалась обновлять свои процедуры безопасности, что привело к дополнительным проникновениям в ее системы.

В результате того, что эти базовые процедуры безопасности не были реализованы, хакеры смогли установить вредоносное ПО, «очищающее память» в корпоративной сети и системах управления собственностью управляемых и франчайзинговых отелей Wyndham. В течение двух лет хакеры систематически извлекали личную и конфиденциальную информацию (имена, адреса, номера кредитных карт) более 600 000 человек и незаконно экспортировали эти данные в домен, зарегистрированный в России.

В ответ FTC подала иск, утверждая, что неоднократный отказ Wyndham реализовать разумные меры безопасности данных при продолжении сбора конфиденциальных и личных данных (включая данные кредитных карт и другую платежную информацию) от отдельных конечных пользователей был «несправедливым» в соответствии с разделом 5.

Кроме того, Федеральная торговая комиссия установила, что неприменение этих базовых процедур безопасности данных было «обманом» в соответствии с Разделом 5, поскольку Wyndham пообещала в своей политике конфиденциальности, что будет использовать «стандартные» меры безопасности для защиты личных и конфиденциальных данных.

Вы можете узнать больше о предыстории дела в этом превосходном обновлении @JanisKestenbaum из Perkins Coie .

Как Wyndham не удалось защитить свою сеть

В жалобе FTC подробно описаны некоторые из многих вещей, которые Wyndham не сделала для защиты своей сети:

  • неспособность использовать доступные меры безопасности для защиты своих внутренних компьютерных систем, например, брандмауэры;
  • неправильная настройка программного обеспечения и, как следствие, хранение информации о кредитных картах конечных пользователей в открытом виде;
  • неустранение известных уязвимостей безопасности на серверах;
  • использование логинов и паролей по умолчанию для доступа к серверам;
  • отсутствие требования использования сотрудниками сложных идентификаторов пользователей и паролей для доступа к серверам компании;
  • неспособность разумно ограничить доступ третьих лиц к сетям и компьютерам компании.

FTC утверждала, что такие методы являются стандартными для компаний, собирающих личные и конфиденциальные данные, и что, не применяя такие методы даже после трех последовательных взломов, действия Wyndham были несправедливыми.

Третий контур говорит

В ответ на действия FTC Wyndham подала иск в окружной суд, утверждая, среди прочего, что у FTC не было полномочий для подачи иска о безопасности данных. Он также утверждал, что FTC не определила должным образом, что такое «разумные» методы обеспечения безопасности данных.

Проиграв этот иск в окружном суде, Wyndham подала апелляцию в Третий округ. Решение Третьего судебного округа ответило постановлением, которое весьма критично по отношению к Уиндхэму и дает слабые основания для апелляции в Верховный суд по принципу « Certiorari ».

Мнение Суда ответило на два важных вопроса, поднятых Wyndham:

  1. В соответствии с Законом о Федеральной торговой комиссии FTC имеет право возбуждать дела по обеспечению безопасности данных против компаний, не применяющих «разумные» методы обеспечения безопасности данных.
  2. Федеральная торговая комиссия надлежащим образом уведомила представителей отрасли о том, что представляет собой «разумная» безопасность данных . В связи с этим Суд рассмотрел аргументы FTC в многочисленных заявлениях против ответчиков, которые ненадлежащим образом защищали данные, полученные ими от конечных пользователей и клиентов. Они также ознакомились с опубликованным руководством FTC, которое в первую очередь основано на лучших отраслевых практиках для разработки стандарта.

Третий округ не рассмотрел конкретный вопрос о том, действительно ли действия Wyndham были «неразумными» на основании указаний Федеральной торговой комиссии — этот вопрос будет решать окружной суд Нью-Джерси, которому сейчас передано дело.

Если вы дошли до этого места в посте, то поздравляю, здесь все становится интересным и, надеюсь, актуальным для вас.

Что означает разумная безопасность данных для вашего бизнеса?

Согласно анализу, проведенному Третьим округом, Федеральная торговая комиссия достаточно уведомила компании об этих методах, которые они сочли бы «разумными», когда речь идет о защите личных и конфиденциальных данных, — посредством расчетов с многочисленными ответчиками, а также опубликованных руководств для отрасли.

Фактически, FTC предоставила конкретные рекомендации по «разумной безопасности данных» для разработчиков мобильных приложений в своем руководстве « Начните с безопасности » .

«Не существует контрольного списка для защиты всех приложений. У разных приложений разные потребности в безопасности. Например, приложение-будильник, которое собирает мало данных или вообще не собирает их, скорее всего, вызовет меньше проблем с безопасностью, чем социальная сеть на основе местоположения. Более сложные приложения могут полагаться на удаленные серверы для хранения и управления данными пользователей, а это означает, что разработчики должны быть знакомы с защитой программного обеспечения, защитой передачи данных и защитой серверов. Добавление к проблеме: угрозы безопасности и лучшие практики быстро развиваются».

Другими словами, FTC ожидает, что разработчики приложений будут применять и поддерживать разумные методы обеспечения безопасности данных в зависимости от типа данных, которые они собирают, и того, как они используют эти данные. Они не предписывают универсальный подход.

Поэтому сейчас самое время провести инвентаризацию ваших данных и методов обеспечения безопасности, чтобы определить, являются ли они «разумными» в свете данных, которые вы собираете, и того, как вы используете и делитесь этими данными. Стоит взглянуть на руководство FTC « Начать с безопасности » и определить, применимы ли эти шаги к вам.

В частности, FTC призывает компании, собирающие личные и конфиденциальные данные, сделать следующее:

  • Назначьте кого-то ответственным за безопасность.
  • Подведите итоги данных, которые вы собираете и сохраняете.
  • Практикуйте минимизацию данных : не собирайте и не храните данные, которые вам не нужны.
  • Изучите и поймите методы обеспечения безопасности мобильных платформ , с которыми вы работаете.
  • Защитите свои серверы. Если вы поддерживаете сервер, который взаимодействует с вашим приложением, примите соответствующие меры безопасности для его защиты. Если вы полагаетесь на коммерческого поставщика облачных услуг, уясните, как распределяются обязанности по обеспечению безопасности и обновлению программного обеспечения на сервере.
  • Если вы имеете дело с финансовыми данными, данными о состоянии здоровья или данными о детях, убедитесь, что вы понимаете применимые стандарты и правила . Вы можете найти более подробную информацию о типах законов и отраслевых рамок, которые применяются на недавно запущенном микросайте TUNE о конфиденциальности и данных .
  • Уведомляйте о своих методах обеспечения безопасности, данных и конфиденциальности и «говорите со своими пользователями своими словами».
  • Безопасно создавайте учетные данные (имена пользователей, пароли).
  • Не храните и не передавайте конфиденциальные данные в виде обычного текста . Используйте транзитное шифрование для платежных данных и других важных данных. FTC подала иски против Lifelock, RockYou и ValueClick за хранение и передачу данных в виде простого текста.
  • Шифрование при передаче и хранении также важно для соблюдения законов штата об утечке данных, которые требуют, чтобы вы сообщали генеральному прокурору штата и конечным пользователям в случае взлома «личных данных». Персональные данные в соответствии с законодательством Калифорнии и других штатов включают незашифрованные данные — данные, хранящиеся в виде открытого текста, например, информация о кредитной карте, адрес электронной почты, сохраненный с паролем.
  • Оставайтесь вовлеченными в свое приложение после его запуска. Ежедневно появляются новые уязвимости, и даже самые авторитетные программные библиотеки требуют обновлений безопасности.

Итак, начните с безопасности

Решение Третьего судебного округа против Wyndham является важным напоминанием о том, что все компании, имеющие дело с личными и конфиденциальными данными, должны пересмотреть свои данные и методы обеспечения безопасности. Нарушение таких данных может привести к ответственности FTC, коллективным искам и, что наиболее важно, к потере доверия со стороны ваших конечных пользователей.

Это риск, на который вы готовы пойти? Если нет, то имеет смысл «Начать с безопасности» уже сегодня.

Дополнительный важный ресурс:

Если вы хотите получить еще более подробные сведения о том, что такое «разумная» защита данных и как она может применяться к вашему бизнесу, то стоит ознакомиться с «Общим законом о конфиденциальности» известных исследователей конфиденциальности Дэна Солова и Вуди Харцога. В нем исследуется, как Федеральная торговая комиссия смогла сформировать современный закон США о конфиденциальности с помощью «декретов о согласии» , т. е. соглашений, которые требуют от компании выполнения определенных конкретных действий в течение установленного периода времени (обычно 20 лет). Это включает указ о согласии на безопасность данных против Microsoft (для Passport); теперь у агентства есть указы о согласии на конфиденциальность с Facebook (в связи с изменениями в политике конфиденциальности в 2009 г.) и Google (в связи с запуском Buzz в 2010 г.).

Фото предоставлено: @dcillustrated

Нравится эта статья? Подпишитесь на рассылку дайджестов нашего блога.