De beveiligingsprofessionals van Wyndham vs. FTC Corporate moeten een advocaat inschakelen over de bescherming tegen datalekken, zeggen experts

Beveiligingsmanagers van bedrijven moeten hun juridische teams ontmoeten om erachter te komen of de manier waarop ze klantgegevens beschermen, hen uit de problemen kan houden met de Federal Trade Commission als die informatie in het gedrang komt bij een datalek..

Gebaseerd op een beslissing van het Amerikaanse Circuit Court of Appeals gisteren, is de beste manier om te achterhalen welke soorten acties de FTC in het verleden heeft ondernomen - en waarom - tegen bedrijven wier verdediging is gekraakt en wiens klantgegevens zijn gestolen.

Lisa Sotto

Vervolgens moeten organisaties stappen ondernemen om ervoor te zorgen dat beveiliging voldoet aan 'redelijke industrienormen', zegt Lisa Sotto, een advocaat bij Hunton & Williams die zich richt op privacy en cyberveiligheidswetgeving.

Dat komt omdat de rechtbank zegt dat het goed is voor de FTC om bedrijven te vinden die schuldig zijn aan datalekken en om deze te bekrachtigen met toestemmingsbesluiten die hen dwingen om zich gedurende 20 jaar elke twee jaar te onderwerpen aan beveiligingsbeoordelingen van derden,.

MEER OVER NETWERKWERELD: 26 gekke en enge dingen die de TSA op reizigers heeft gevonden

Maar het is nog steeds niet bekend welke impact de uitspraak zal hebben op het enthousiasme waarmee de FTC zich bezighoudt na inbreukmakende bedrijven, zegt Jason Straight, senior vice-president en chief privacy officer van UnitedLex, een juridisch en technologisch adviesbureau. 'De zorg is dat [de Wyndham-beslissing] de FTC in staat zal stellen agressiever te zijn', zegt hij. 'De rechtbank zegt dat ze de FTC zal laten beslissen wat redelijk is.'

De 3-0 uitspraak van de rechtbank schoot de bewering van Wyndham Worldwide Corp. af dat de federale wet de FTC niet de bevoegdheid geeft om bedrijven te straffen voor slechte beveiliging die resulteert in diefstal van klantgegevens. 'De 3rd Circuit zegt stellig dat de FTC de bevoegdheid heeft om te reguleren in de infosec-arena, ”zegt Sotto.

Het vermijden van sancties door de FTC is niet typisch zo zwaar, zegt ze, omdat de commissie historisch gezien alleen achter bedrijven aanloopt 'omdat ze geen redelijke beveiliging hebben voor gegevens die hun door consumenten zijn toevertrouwd ... Ze gaan meestal alleen achter bedrijven aan met diep onveilige systemen. "

Wyndham leed drie inbreuken in 2008 en 2009 en slaagde er niet in om creditcardgegevens te versleutelen, zegt Straight.

De meer dan 50 gevallen die de FTC sinds het begin van de jaren 2000 heeft nagestreefd, zijn vrij duidelijk over bedrijven die dergelijke beveiliging niet hebben gecreëerd, zegt ze. Allen behalve Wyndham en één andere ondertekende toestemmingsbesluiten met de FTC, en de andere beëindigt haar bedrijf.

+ OOK OP NETWORK WORLD Court: FTC kan bedrijven met slordige cybersecurity de hamer slaan  +

Sommige bedrijven zijn vrijgesteld van de FTC-autoriteit - banken en gezondheidszorg behoren daar doorgaans toe - maar anders moeten beveiligingsmanagers erachter komen wat de regelgevingsagenda van de FTC is geweest met betrekking tot datalekken. Dat betekent 10 jaar of meer van beslissingen waarvan het niet waarschijnlijk is dat beveiligingsprofessionals de tijd zullen hebben om zichzelf te onderzoeken, dus moeten ze juridische hulp inroepen, zegt Sotto.

De FTC geeft geen lijst met specifieke beveiligingen uit die bedrijven moeten bieden om te voorkomen dat ze worden geciteerd omdat ze geen redelijke beveiliging bieden, maar het is waarschijnlijk dat CSO's en anderen die belast zijn met het beschermen van klantgegevens die proberen te voldoen aan een hogere standaard - corporate best praktijken voor beveiliging - zal niet in strijd zijn met de commissie, zegt ze.

Beveiligingsprofessionals die proberen de verdediging tegen de nieuwste bekende bedreigingen bij te houden, zouden er goed aan moeten doen, zegt Sotto. In de afgelopen twee jaar is de FTC beter geworden in het bijhouden van welke stappen redelijk zijn, en heeft hij een hoofdtechnoloog ingehuurd om die inspanning te leiden.

Enige begeleiding van de FTC zou welkom zijn, zegt Pat Clawson, CEO van Blancco Technology Group. Hij zegt dat de FTC 'meer vertrouwen heeft en bereid is om samen te werken aan een oplossing met een bedrijf' dat een inbreuk heeft gemeld aan de juiste wetshandhavers en met hen heeft samengewerkt. ' Dus het opzetten van schriftelijke parameters over hoe die stappen worden genomen - en de daaropvolgende communicatie daar omheen - kan heel goed van invloed zijn op welke bedrijven in de gratie van de FTC vallen en welke topdoelen worden voor onderzoek en rechtszaken. ”

Wyndham zou de 3 kunnen aansprekenrd Circuit's beslissing voor het Amerikaanse Hooggerechtshof, maar de rechtbank zou moeten beslissen om het te horen, zegt Sotto, en dat is heel moeilijk om te laten gebeuren.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.