Думаете, работодатели должны защищать личную информацию работников? Подумайте еще раз!

По крайней мере, один из судов в Пенсильвании утверждает, что нет никаких оснований ожидать, что личная информация не подвергнется хакерской атаке

Есть хорошая новость для профессионалов в сфере безопасности, обеспокоенных тем, что их организации могут нести ответственность, в случае, если личные данные сотрудников подвергнутся хакерской атаке. Коллегия судей в Пенсильвании утверждает, что работники не могут взыскать убытки со своего работодателя, если такая информация, как номер карты социального страхования, данные о банковском счете, дате рождения, адресе и размере зарплаты скомпрометированы в результате нарушения безопасности.

Даже несмотря на то, что украденные данные были использованы для подачи фиктивных деклараций для получения налогового возврата, работники Медицинского Центра Университета Питтсбурга (UPMC) не имели оснований ожидать, что их данные будут в безопасности. Такое постановление вынес Верховный суд штата Пенсильвания.

Это дело, известное как в Dittman против UPMC, касается исключительно записей о сотрудниках, не о клиентах или пациентах, на которые распространяется защита HIPAA.

Это происходит именно в Пенсильвании, где законы не имеют непосредственного отношения к обязанностям предприятия по защите данных сотрудников. И именно сейчас, потому что законодатели все еще пытаются создавать законы, применимые к электронным данным. Закон может наверстать упущенное, но сейчас суды применяют действующие правовые нормы, которые, во многих случаях, были приняты еще до возникновения цифровых записей. И это актуально не только для Пенсильвании. Между тем, суды и стороны, считающие себя пострадавшими, вынуждены опираться на законы и предыдущие дела, не имеющие никакого отношения к киберпреступности.

Например, в решении, принятом судом говорится, что сотрудники в Пенсильванском деле, предоставили свою личную информацию не на безопасное хранение, а поскольку это было одним из условий приема на работу. Используя доводы, взятые из дела, возбужденного против банка владельцами счетов, судьи решили, что в данном случае безопасность информации не была гарантирована.

Ссылаясь на еще одно старое дело, суд постановил, что UPMC не обязан платить в том случае, если утечка данных привела к чисто экономическим потерям, но не нанесла ущерба здоровью, безопасности или имущества.

Наиболее жесткий критерий, используемый судом, был взят из другого дела, выходящего за рамки данного иска и имеющего отношение к тому, имеют ли право родители, подвергающие своих детей сексуальному насилию, подать в суд на детского психолога, сдавшего их властям. Применяя рассуждения, использованные для вынесения решения в том случае, суд пришел к некоторым поспешным выводам относительно ответственности в случаях нарушения данных.

Суд отметил, что закон не должен требовать от работодателей брать на себя стоимость усиления безопасности данных сотрудников, потому что они не могут предотвратить все возможные попытки взлома. «Мы считаем, что нет необходимости требовать от работодателей взваливать на себя потенциально высокие расходы на усиление мер безопасности, в то время, как не существует универсального способа предотвратить утечку данных в целом», — говорится в решении.

Далее в постановлении говорится, что выгоды от хранения этого типа данных в электронном виде перевешивают недостатки, состоящие в том, что данные могут быть скомпрометированы. «В то время как нарушение данных (и последующий ущерб), как правило, предсказуемы, мы не считаем, что это перевешивает социальную пользу электронной формы хранения информации о сотрудниках», — говорится в постановлении. «Хотя утечка данных, хранимых в электронном виде, представляет собой потенциальный риск, он не перевешивает социальную полезность хранения информации в электронном виде».

Два судьи, подписавшие основное решение по этому делу, также предоставили дополнительное мнение для дальнейшего объяснения ситуации. Они написали, что медицинскому центру не было известно о каких-либо конкретных угрозах, которые были впоследствии проигнорированы, а потому центр ничего не должен своим сотрудникам. «Если бы UPMC был уведомлен о реальных или потенциальных нарушениях безопасности своих систем, или бы было очевидным, что небрежное обращение с конфиденциальной информацией сделало ее уязвимой для преступной деятельности, то, возможно, было бы принято другое решение».

До тех пор, пока законы не смогут более точно определять, кто несет ответственность в случаях нарушения данных, суды должны действовать консервативно, предоставляя приоритет законодательным органам. «В этой постоянно развивающейся области права и технологии нам следует приступать к созданию прецедента медленно и с осторожностью», — говорят судьи.

Think employers must protect workers’ personal info? Think again

APT28: в эпицентре бури

6 января 2017 года, директор национальной разведки США выпустил доклад «Оценка деятельности России и ее намерений в ходе недавних выборов в США». Вопросы относительно российского вмешательства по-прежнему сохраняются. Действительно ли российское правительство руководило группой, ответственной за нарушения и связанной с ними утечкой данных? Если да, то является ли это лишь частью допустимого государством шпионажа или выходит за его пределы? Была ли утечка данных Национального комитета Демократической партии преднамеренными действиями со стороны российского правительства с целью вмешательства в президентские выборы США?

Логически вытекающий из этого вопрос остается незаданным: каким образом Россия будет продолжать использовать различные методы — включая хакерские атаки и утечки – для подрыва деятельности учреждений, политиков и других деятелей, которых правительство России воспринимает как сдерживающий фактор по отношению к ее решительным действиям по достижению государственных целей?

Благодаря FireEye мы имеем представление о деятельности APT28 – группы, действия которой, как мы считаем, направляется российским правительством, — о ее целях и мерах, по их последующему достижению.

Мы отследили деятельность этой группы посредством многочисленных исследований, обнаружения конечной точки и непрерывного мониторинга. Изучение операций APT28, вплоть до 2007 года, позволило нам понять, какие вредоносные ПО использует группа, каковы ее оперативные изменения и мотивы. Эта информация имеет решающее значение для защиты и информирования наших клиентов, выявления угроз и укрепления нашей уверенности в том, что руководство деятельностью APT28 осуществляется российским правительством.

APT28: AT THE CENTER OF THE STORM