การตัดสินใจของ Wyndham เตือนให้เรา “เริ่มต้นด้วยความปลอดภัย”

เผยแพร่แล้ว: 2015-09-01

ระบบนิเวศดิจิทัลควรให้ความสนใจกับ คำตัดสินล่าสุดจากศาลอุทธรณ์ภาคที่ 3 ของสหรัฐอเมริกา ต่อ Wyndham Worldwide Corporation ซึ่งยืนยันสิทธิ์ของ FTC ในการควบคุมความปลอดภัยของข้อมูล

อำนาจของ FTC ในการควบคุม ความเป็นส่วนตัว ของข้อมูล นั้นไม่เคยมีข้อสงสัย เนื่องจากได้รับมอบอำนาจอย่างกว้างๆ ของหน่วยงานภายใต้ มาตรา 5 ของพระราชบัญญัติ FTC ให้กำกับดูแล “การคุ้มครองผู้บริโภค” แต่อำนาจของ FTC ในการกำหนดแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลได้ถูกตั้งคำถามในกรณีที่โจทก์แยกกันสองคน – Wyndham Hotels และ Lab MD

ก่อนที่เราจะเจาะลึกการพิจารณาคดีและวิธีการใช้กับบริษัทที่รวบรวมข้อมูลส่วนบุคคลและละเอียดอ่อนจากผู้ใช้ เรามาทบทวนภูมิหลังที่เกี่ยวข้องกัน

คดีของ FTC กับ Wyndham

แฮกเกอร์ละเมิดระบบคอมพิวเตอร์ของ Wyndham สามครั้งระหว่างปี 2008 ถึง 2010 โดยขโมยข้อมูลบัตรเครดิตจากบุคคล 619,000 ราย และถูกตั้งข้อหาฉ้อโกงกว่า 10.6 ล้านเหรียญ ระบบเหล่านี้รวมถึงเครือข่ายองค์กรของ Wyndham ซึ่งเชื่อมโยงกับระบบคอมพิวเตอร์สำหรับโรงแรมและแฟรนไชส์ที่ได้รับการจัดการมากกว่า 7,000 แห่งของ Wyndham แม้จะมีการแฮ็กซ้ำแล้วซ้ำเล่า Wyndham ปฏิเสธที่จะอัปเดตขั้นตอนการรักษาความปลอดภัย ส่ง ผลให้มีการแทรกซึมของระบบเพิ่มเติม

ผลจากการไม่ใช้กระบวนการรักษาความปลอดภัยขั้นพื้นฐานเหล่านี้ แฮ็กเกอร์จึงสามารถติดตั้งมัลแวร์ "การขูดหน่วยความจำ" บน เครือข่ายองค์กรและระบบการจัดการทรัพย์สินสำหรับโรงแรมที่มีการจัดการและแฟรนไชส์ของ Wyndham ตลอดระยะเวลาสองปี แฮกเกอร์ได้ดึงข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน (ชื่อ ที่อยู่ หมายเลขบัตรเครดิต) อย่างเป็นระบบสำหรับบุคคลกว่า 600,000 ราย และส่งออกข้อมูลดังกล่าวไปยังโดเมนที่จดทะเบียนในรัสเซียอย่างผิดกฎหมาย

เพื่อเป็นการตอบโต้ FTC ได้ยื่นฟ้อง โดยโต้แย้งว่าการที่ Wyndham ปฏิเสธที่จะใช้มาตรการรักษาความปลอดภัยของข้อมูลอย่างสมเหตุสมผลซ้ำแล้วซ้ำเล่า ในขณะที่ยังคงเก็บรวบรวมข้อมูลที่ละเอียดอ่อนและเป็นส่วนตัว (รวมถึงข้อมูลบัตรเครดิตและข้อมูลสำหรับการเรียกเก็บเงินอื่นๆ) จากผู้ใช้ปลายทางแต่ละรายนั้น “ไม่ยุติธรรม” ภายใต้มาตรา 5

นอกจากนี้ FTC พบว่าการไม่ใช้กระบวนการรักษาความปลอดภัยข้อมูลพื้นฐานเหล่านี้เป็น "การหลอกลวง" ภายใต้หัวข้อที่ 5 เนื่องจาก Wyndham สัญญาไว้ในนโยบายความเป็นส่วนตัวว่าจะใช้มาตรการรักษาความปลอดภัย "มาตรฐาน" เพื่อปกป้องข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับพื้นหลังของเคสได้ในการ อัปเดตที่ยอดเยี่ยม นี้ โดย @JanisKestenbaum จาก Perkins Coie

Wyndham ล้มเหลวในการรักษาความปลอดภัยเครือข่ายอย่างไร

การ ร้องเรียนของ FTC ให้ รายละเอียดบางสิ่งที่ Wyndham ไม่ได้ทำเพื่อรักษาความปลอดภัยของเครือข่าย:

  • ความล้มเหลวในการใช้มาตรการรักษาความปลอดภัยที่พร้อมใช้งานเพื่อรักษาความปลอดภัยระบบคอมพิวเตอร์ภายในเช่นไฟร์วอลล์
  • การกำหนดค่าซอฟต์แวร์ไม่ถูกต้อง ส่งผลให้จัดเก็บข้อมูลบัตรเครดิตของผู้ใช้ปลายทางเป็นข้อความที่ชัดเจน
  • ไม่สามารถแก้ไขช่องโหว่ด้านความปลอดภัยที่ทราบบนเซิร์ฟเวอร์
  • ใช้ชื่อผู้ใช้และรหัสผ่านเริ่มต้นสำหรับการเข้าถึงเซิร์ฟเวอร์
  • ความล้มเหลวในการใช้ ID ผู้ใช้และรหัสผ่านที่ซับซ้อนโดยพนักงานในการเข้าถึงเซิร์ฟเวอร์ของบริษัท
  • ล้มเหลวในการจำกัดการเข้าถึงเครือข่ายและคอมพิวเตอร์ของบริษัทบุคคลที่สามตามสมควร

FTC แย้งว่าแนวทางปฏิบัติดังกล่าวเป็นมาตรฐานในหมู่ธุรกิจที่รวบรวมข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน และการไม่นำแนวทางปฏิบัติดังกล่าวมาใช้ แม้แต่หลังจากการแฮ็กติดต่อกันสามครั้ง การกระทำของ Wyndham ก็ไม่ยุติธรรม

วงจรที่สามพูด

ในการตอบสนองต่อการดำเนินการของ FTC นั้น Wyndham ได้ยื่นฟ้องต่อศาลแขวงโดยกล่าวหาว่า FTC ขาดอำนาจในการดำเนินการด้านความปลอดภัยของข้อมูล นอกจากนี้ยังแย้งว่า FTC ไม่ได้ระบุแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลที่ "สมเหตุสมผล" อย่างเพียงพอ

หลังจากสูญเสียการอ้างสิทธิ์นี้ในศาลแขวง วินด์แฮมได้ยื่นอุทธรณ์ต่อรอบที่สาม การพิจารณาคดีรอบที่ 3 ตอบโต้ด้วยคำตัดสินซึ่งค่อนข้างวิพากษ์วิจารณ์ Wyndham และให้เหตุผลบางประการสำหรับการอุทธรณ์ของศาลฎีกาภายใต้หลักการของ " Certiorari "

ความเห็นของศาลได้ตอบคำถามสำคัญสองข้อจาก Wyndham:

  1. FTC มี อำนาจภายใต้พระราชบัญญัติ FTC ในการดำเนินการด้านความปลอดภัยของข้อมูล กับบริษัทที่ไม่ใช้แนวทางปฏิบัติด้านความปลอดภัยของข้อมูลที่ "สมเหตุสมผล"
  2. FTC ได้ แจ้ง อย่างเพียงพอแก่อุตสาหกรรมว่าสิ่งใดที่ถือว่าความปลอดภัยของข้อมูล "สมเหตุสมผล " ในประเด็นนี้ ศาลพิจารณาข้อโต้แย้งของ FTC ในการยื่นฟ้องจำเลยจำนวนมากที่มีข้อมูลรักษาความปลอดภัยอย่างไม่เหมาะสมซึ่งรวบรวมจากผู้ใช้ปลายทางและลูกค้า พวกเขายังดูคำแนะนำที่เผยแพร่ของ FTC ซึ่งอิงตามแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรมเป็นหลักเพื่อกำหนดมาตรฐาน

วงจรที่ 3 ไม่ได้ตอบคำถามเฉพาะเจาะจงว่าการกระทำของ Wyndham นั้น “ไม่สมเหตุสมผล” ตามคำแนะนำของ FTC หรือไม่ คำถามนั้นจะได้รับการแก้ไขโดยศาลแขวงนิวเจอร์ซีย์ซึ่งตอนนี้คดีถูกคุมขังอยู่

หากคุณมาถึงจุดนี้ในโพสต์ ขอแสดงความยินดี นี่คือสิ่งที่น่าสนใจและหวังว่าจะเกี่ยวข้องกับคุณ

ความปลอดภัยของข้อมูลที่เหมาะสมมีความหมายต่อธุรกิจของคุณอย่างไร

ภายใต้การวิเคราะห์ของ Third Circuit FTC ได้แจ้งให้บริษัทต่างๆ ทราบถึงแนวทางปฏิบัติเหล่านั้นเพียงพอแล้ว ซึ่งพวกเขาจะพิจารณาว่า "สมเหตุสมผล" เมื่อพูดถึงการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน ผ่านการตั้งถิ่นฐานกับจำเลยจำนวนมาก ตลอดจนคำแนะนำที่เผยแพร่ไปยังอุตสาหกรรม

อันที่จริง FTC ได้ให้คำแนะนำเฉพาะเกี่ยวกับแนวทางปฏิบัติ "ความปลอดภัยของข้อมูลที่เหมาะสม" สำหรับนักพัฒนาแอปบนอุปกรณ์เคลื่อนที่ใน คู่มือ Start with Security

“ไม่มีรายการตรวจสอบสำหรับการรักษาความปลอดภัยแอปทั้งหมด แอพต่างๆ มีความต้องการด้านความปลอดภัยที่แตกต่างกัน ตัวอย่างเช่น แอพนาฬิกาปลุกที่รวบรวมข้อมูลเพียงเล็กน้อยหรือไม่มีเลย มีแนวโน้มที่จะเพิ่มการพิจารณาด้านความปลอดภัยน้อยกว่าเครือข่ายโซเชียลตามตำแหน่ง แอปที่มีความซับซ้อนมากขึ้นอาจต้องอาศัยเซิร์ฟเวอร์ระยะไกลในการจัดเก็บและจัดการข้อมูลของผู้ใช้ ซึ่งหมายความว่านักพัฒนาซอฟต์แวร์จะต้องคุ้นเคยกับการรักษาความปลอดภัยซอฟต์แวร์ การรักษาความปลอดภัยการส่งข้อมูล และ การรักษาความปลอดภัยเซิร์ฟเวอร์ การเพิ่มความท้าทาย: ภัยคุกคามด้านความปลอดภัยและแนวทางปฏิบัติที่ดีที่สุดพัฒนาอย่างรวดเร็ว”

กล่าวอีกนัยหนึ่ง FTC คาดหวังให้นักพัฒนาแอปปรับใช้และรักษาแนวปฏิบัติด้านความปลอดภัยของข้อมูลที่เหมาะสมตามประเภทของข้อมูลที่พวกเขากำลังรวบรวมและวิธีที่พวกเขาใช้ข้อมูลนั้น พวกเขาไม่ได้กำหนดแนวทางเดียวที่เหมาะกับทุกคน

ดังนั้นจึงเป็นเวลาที่ดีที่จะตรวจสอบข้อมูลและแนวทางปฏิบัติด้านความปลอดภัยของคุณเพื่อพิจารณาว่าข้อมูลเหล่านี้ "สมเหตุสมผล" หรือไม่ในแง่ของข้อมูลที่คุณรวบรวมและวิธีที่คุณใช้และแบ่งปันข้อมูลนั้น คุณควรอ่าน คู่มือ Start with Security ของ FTC และพิจารณาว่าขั้นตอนเหล่านี้มีผลกับคุณหรือไม่

โดยเฉพาะอย่างยิ่ง FTC เรียกร้องให้บริษัทที่รวบรวมข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนดำเนินการดังต่อไปนี้:

  • ให้ผู้รับผิดชอบ ด้านความปลอดภัย
  • เก็บ ข้อมูลที่คุณรวบรวมและเก็บรักษาไว้
  • ฝึก ลดขนาดข้อมูล : อย่ารวบรวมหรือจัดเก็บข้อมูลที่คุณไม่ต้องการ
  • ค้นคว้าและทำความเข้าใจ แนวทางปฏิบัติด้านความปลอดภัยของแพลตฟอร์มมือถือที่ คุณทำงานด้วย
  • ปกป้องเซิร์ฟเวอร์ของคุณ หากคุณดูแลเซิร์ฟเวอร์ที่สื่อสารกับแอปของคุณ ให้ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องแอป หากคุณพึ่งพาผู้ให้บริการระบบคลาวด์เชิงพาณิชย์ โปรดทำความเข้าใจส่วนความรับผิดชอบในการรักษาความปลอดภัยและอัปเดตซอฟต์แวร์บนเซิร์ฟเวอร์
  • หากคุณกำลังจัดการกับข้อมูลทางการเงิน ข้อมูลด้านสุขภาพ หรือข้อมูลของเด็ก คุณต้อง เข้าใจมาตรฐานและข้อบังคับ ที่ เกี่ยวข้อง คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับประเภทของกฎหมายและกรอบงานอุตสาหกรรมที่ใช้กับไมโครไซต์ ด้าน ความเป็นส่วนตัวและข้อมูลที่ เพิ่งเปิดตัวของ TUNE
  • แจ้ง แนวทางปฏิบัติด้านความปลอดภัย ข้อมูล และความเป็นส่วนตัวของคุณ และ "พูดคุยกับผู้ใช้ของคุณด้วยคำพูดของคุณเอง"
  • สร้างข้อมูลประจำตัว (ชื่อผู้ใช้ รหัสผ่าน) อย่างปลอดภัย
  • อย่าจัดเก็บหรือถ่ายโอนข้อมูลที่ละเอียดอ่อนในรูปแบบข้อความ ธรรมดา ใช้การเข้ารหัสการรับส่งข้อมูลสำหรับข้อมูลการเรียกเก็บเงิน และข้อมูลสำคัญอื่นๆ FTC ได้ดำเนินการกับ Lifelock, RockYou และ ValueClick สำหรับการจัดเก็บและส่งข้อมูลข้อความธรรมดา
  • การเข้ารหัสการส่งผ่านและการจัดเก็บยังเกี่ยวข้องกับการ ปฏิบัติตามกฎเกณฑ์การละเมิดข้อมูลของรัฐ ซึ่งกำหนดให้คุณต้องรายงานต่ออัยการสูงสุดของรัฐและผู้ใช้ปลายทางเมื่อ “ข้อมูลส่วนบุคคล” ถูกละเมิด ข้อมูลส่วนบุคคลภายใต้กฎหมายของรัฐแคลิฟอร์เนียและรัฐอื่นๆ รวมถึงข้อมูลที่ไม่ได้เข้ารหัส – ข้อมูลที่จัดเก็บในรูปแบบข้อความธรรมดา เช่น ข้อมูลบัตรเครดิต ที่อยู่อีเมลที่จัดเก็บด้วยรหัสผ่าน
  • มีส่วนร่วมกับแอปของคุณ หลังจากเปิดตัว ช่องโหว่ใหม่เกิดขึ้นทุกวัน และแม้แต่ไลบรารีซอฟต์แวร์ที่มีชื่อเสียงที่สุดก็ยังต้องการการอัปเดตความปลอดภัย

ดังนั้น เริ่มต้นด้วยการรักษาความปลอดภัย

การตัดสินใจในรอบที่ 3 ต่อ Wyndham เป็นเครื่องเตือนใจที่สำคัญว่าทุกบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนควรตรวจสอบข้อมูลและแนวทางปฏิบัติด้านความปลอดภัย การละเมิดข้อมูลดังกล่าวอาจนำไปสู่ความรับผิดของ FTC การฟ้องร้องดำเนินคดีแบบกลุ่ม และที่สำคัญที่สุดคือการสูญเสียความไว้วางใจกับผู้ใช้ปลายทางของคุณ

นี่เป็นความเสี่ยงที่คุณยินดีที่จะรับหรือไม่? ถ้าไม่เช่นนั้น คุณควร “เริ่มต้นด้วยความปลอดภัย” ตั้งแต่วันนี้

ทรัพยากรที่สำคัญเพิ่มเติม:

หากคุณต้องการทราบรายละเอียดเพิ่มเติมเกี่ยวกับความปลอดภัยของข้อมูลที่ "สมเหตุสมผล" และวิธีการนำไปใช้กับธุรกิจของคุณ คุณควรตรวจสอบ "กฎหมายทั่วไปของความเป็นส่วนตัว" โดย Dan Solove และ Woody Hartzog นักวิชาการด้านความเป็นส่วนตัวชื่อดัง สำรวจว่า FTC สามารถกำหนดกฎหมายความเป็นส่วนตัวของสหรัฐอเมริกาสมัยใหม่ได้อย่างไรผ่าน "คำสั่งยินยอม" เช่น การตั้งถิ่นฐานที่กำหนดให้บริษัทต้องดำเนินการบางอย่างในช่วงระยะเวลาหนึ่ง (โดยปกติคือ 20 ปี) ซึ่งรวมถึงพระราชกฤษฎีกาความยินยอมด้านความปลอดภัยของข้อมูลกับ Microsoft (สำหรับ Passport) ขณะนี้หน่วยงานมีพระราชกฤษฎีกายินยอมความเป็นส่วนตัวกับ Facebook (การเปลี่ยนแปลงนโยบายความเป็นส่วนตัวในปี 2009) และ Google (ในช่วงการเปิดตัว Buzz ในปี 2010)

เครดิตภาพ: @dcillustrated

ชอบบทความนี้? ลงชื่อสมัครใช้อีเมลสรุปบล็อกของเรา