ПОЛНЫЙ КРАХ Оценка обязательств компании после кибератаки

К вам проникли хакеры, но компьютеры уже вновь под контролем – тут то и начинаются настоящие заботы. Каковы правовые обязательства акционерной компании в подобной ситуации? Каким образом соотнести необходимость полного раскрытия сведений с желанием выжить на рынке? Готовьтесь принять одно из самых сложных решений за всю карьеру.

Ваши компьютеры взломали, и все бы ничего, но это только начало. В силу закона возникают обязательства уведомить акционеров, клиентов и регулирующие органы, что таит в себе риск для корпоративной репутации – при этом попытка все замолчать ничем не лучше, последствия в случае разоблачения будут куда суровее.

Скажем, в Соединенных Штатах акционерные компании обязаны докладывать о случаях несанкционированного проникновения в Комиссию по ценным бумагам и биржам. В Европейском Союзе новый регламент уведомления о компрометации данных требует от телекоммуникационных компаний и Интернет-провайдеров сообщать об инцидентах в течение 24 часов после обнаружения; если дело касается личных данных клиентов, то пострадавшие лица должны быть уведомлены «без лишних задержек».
В Японии предусмотрены суровые штрафы для компаний, замалчивающих факты взлома. В Латинской Америке Бразилия рассматривает закон о раскрытии случаев компрометации данных, согласно которому все данные клиентов должны храниться внутри национальных границ.

ЗАКОНЫ УЖЕСТОЧАЮТСЯ ВО ВСЕМ МИРЕ

Бекки Пинкард, директор по безопасности в лондонской издательской компании Pearson, PLC, сказал, что, по мнению обозревателей из ЕС, все идет к принятию общеевропейского закона о раскрытии случаев компрометации данных. В ЕС уже предложен достаточно серьезный механизм под названием директива о сетевой и информационной безопасности (NIS). В рамках директивы NIS создано несколько групп от корпоративного и частного сектора для работы над ее внедрением, отмечает Пинкард.

«В ЕС уведомления о компрометации данных чаще всего возникают в ходе нормативной проверки компаний, которые идут на риск получения штрафа за несоблюдение законодательства», - говорит Пинкард. «По моему опыту и опыту коллег из служб информационной безопасности, в обычной ситуации компании не докладывают о фактах взлома информационных систем».

«В Японии уже действуют строгие нормы и предусмотрены суровые штрафы для нарушителей», - сказал Хендрик Адриан, генеральный директор компании KLJTech Co. Ltd. из Токио, занимающейся разработкой фильтров безопасности. «Пострадавшие физические и юридические лица могут доложить государственным органам и подать иск в суд», - говорит Адриан. «В суде это почти на 100% выигрышное дело, и хотя хакеру грозит не более трех лет тюрьмы и штраф до $10 000, пострадавшая сторона может предъявить иск почти на любую сумму».

«ЕЖЕДНЕВНО ОТ ХАКЕРОВ СТРАДАЕТ МНОЖЕСТВО КОМПАНИЙ, НО ВСЕ ОНИ МОЛЧАТ, ЧТОБЫ НЕ УРОНИТЬ СВОЕ ИМЯ В ГЛАЗАХ ОБЩЕСТВЕННОСТИ».

КЕВИН ЛОРЕНС СТАРШИЙ КОНСУЛЬТАНТ ПО БЕЗОПАСНОСТИ, STACH & LIU

«В Латинской Америке лидирует Бразилия, подготавливая фундамент для национального закона о раскрытии случаев компрометации данных», сказал Уильям Бир, директор по кибербезопасности бразильского подразделения Alvarez & Marsal в сфере бизнес-консалтинга.

«Это предложение вызывает немалую озабоченность не только в связи с обязательствами по уведомлению о случаях взлома систем, но и по той причине, что действующие в Бразилии компании должны будут хранить данные о гражданах Бразилии только в этой стране», - говорит Бир. «Закон с большой вероятностью пройдет, интереснее другое – как он будет выполняться».

ОБЩЕСТВЕННЫЙ СУД

И все же, юридические последствия – не единственное, чем рискуют компании, сокрывший факт взлома. Общественное мнение может оказаться намного строже, полагает Уим Ремес, старший консультант компании IoActive, поставщика услуг безопасности с подразделениями в Европе и Америках. «Никто не простит компании появления разоблачительной статьи или видеорепортажа», – говорит Ремес.

«Как бы там ни было, мало кто из пострадавших спешит доложить о факте взлома», - говорит Кевин Лоренс, старший консультант по безопасности в Stach & Liu, компании из Финикса, Аризона (США). «Обычно находятся логичные объяснения тому, почему компания не обязана рассылать соответствующие уведомления», - говорит Лоренс. «Ежедневно от хакеров страдает множество организаций, но все они молчат, чтобы не уронить свое имя в глазах общественности».

В феврале 2013 года компания Bit9 из Уолтема, Массачусетс (США), специализирующаяся на безопасности, рассказала о взломе своих сетей во время многоэтапной атаки, направленной на компрометацию клиентов Bit9, которые пользуются ее антишпионскими программами.

Bit9 тут же поставила в известность о взломе правоохранительные органы, после чего привлекала сторонних криминалистов для расследования. Компания решила уведомить клиентов не просто потому, что это правильно, а из желания обезопасить себя в дальнейшем.

“ALMOST ALWAYS THE BENEFITS OF SHARING INTELLIGENCE, AND FULL DISCLOSURE TO THE CUSTOMER AND THE PUBLIC, OUTWEIGHS THE NEGATIVE REACTION THAT A BREACH CAN CAUSE.”

HARRY SVERDLOVE CTO, BIT9

«С юридической точки зрения это очень важно, ведь никогда не знаешь точно, к чему приведет расследование», - говорит Гарри Свердлов, технический директор Bit9. «Если будет обнаружен инсайдерский источник или появятся основания для судебного разбирательства, юридически правильно привлечь независимых следователей, поскольку результаты их работы сложно оспорить, особенно при наличии доказательств того, что расследование проводилось с соблюдением всех норм».

Свердлов советует не заморачиваться с возможными рисками в результате раскрытия факта взлома. «Я бы сказал, что поделившись сведениями об атаке, даже полностью раскрыв все сведения для общественности и клиентов, почти всегда выиграешь больше, чем проиграешь вследствие негативной реакции на факт компрометации данных», - говорит он. ◆

автор статьи Брайан Кребс Вернуться к началу страницы
автор статьи Брайан Кребс