据法介绍,企业可以利用法律保护,尽量减少因网络攻击而导致的损失和风险,据法依法。
“Cyber Inflia,Kemp Little曾在伦敦的网络攻击研讨会上讲述与会者的商业技术助理,有一种潜在的潜在损失。
其中包括客户损失,损害损害,公关成本,竞争优势丧失,知识产权丧失,更换设备的成本和固定或改善IT系统,以及罚款。
潜在的二次成本包括违反合同成本,对网络攻击者的诉讼,对受违规,法律费用和保险费增加影响的人的数据监控服务。
“这些损失途径的组合与网络事件的潜在全球性质可能会导致巨大的损失,”克雷戈罗说。
然而,他表示,大多数公司不再处理自己的公司,它有机会利用外包服务提供商和消费者可以解决的合同保护和控制,以将风险转移和恢复其他人的损失派对。
克罗卡雷斯说:“缔约方可能会通过违反机密性或违反数据保护条款和法律来互相通风风险。”
“数据保护和隐私条款可以包括接收数据的缔约方的要求,以维持适当的技术和/或组织措施,以确保和防止意外或非法销毁,丢失或披露数据等其他义务”。
还可以谈判罚款,法律成本和损失数据责任,他表示客户将热衷于刻放出任何责任盖,组织可能拥有并使其可恢复为直接损失。
“这允许恢复因丧失数据,监管或其他罚款的损失而导致的损失,以及由违规导致的全球法律费用,”Cravero说。
除合同措施外,他还表示教育,培训和政策等组织措施在预防和应对网络攻击方面发挥着关键作用。
“因为大量的网络事件与人为错误有关,因此政策是有用的工具,以确保员工对他们控制数据的角色和责任进行清晰,”克雷戈罗说。
但是,他说政策应该是“生活文件”,这不断更新,以适应不断变化的业务和IT要求,并应基于适用于每个特定组织的数据和法规的特定类型和使用。
例如,文档保留策略确保只保留数据和信息,只能严格保留。
“如果不需要保留数据,您只会增加网络攻击的风险,没有任何益处,”克雷戈罗说。
IT安全性和数据保护策略为组织从所有类型的威胁保护其资产提供了一个框架。
“这些政策确保所有用户了解他们对保护他们处理的数据的职责,以保护组织的信息系统和数据,并降低盗窃,损失,滥用,损害或滥用的风险,”克罗卡雷说。
他说,事件响应政策尤为重要,并且应该至少任职,并签到网络事件的杀戮团队,并列出了处理对网络攻击,调查和纠正攻击的初始反应的明确程序,确定并减轻攻击导致的任何法律风险,处理PR和新闻稿,以及向适当当局报告事件。
Cravero表示,另一种最大限度地减少风险的方法是根据欧洲ISO 27000系列或美国国家标准和技术研究所(NIST)网络安全框架等自愿标准认证。
“认证允许公司证明他们已经放置了最佳实践信息安全流程,并迅速成为与更大组织承包的要求,”他说。
“例如,英国政府要求公司在相对较新的网络上原计划下获得认证,以获得某些政府采购合同。”
CES旨在确保风险管理实践已独立测试和验证。
“未来几年,自愿标准可能会增加数量和覆盖范围,提高了ISO和NIST目前设定的最低预期信息安全水平,”Cravero说。
然而,他说,无论采取哪些预防性步骤,所有公司都可能会遇到至少一个网络事件,并且在这种情况下,公司需要有效且有效地解决一些地区,通常同时解决一些地区。
“在英国,除电信公司和互联网服务提供商之外,目前没有一般强制要求通知当局或公众对网络事件或数据丢失,”克雷戈罗说。
但是,他指出,存在特定的行业强制性通知要求,例如金融服务部门,信息专员办公室(ICO)确实希望收到严重违规通知。
“在决定是否通知杀戮数据违约,公司必须考虑对受违约影响的杀戮的潜在损害以及个人数据丢失或损坏的容量和敏感性,”Cravero说。
他还指出,美国强制违约披露立法在欧洲的立法中启发了立法,特别是网络信息安全(NIS)指令和一般数据保护条例(GDPR)都设定为欧盟(欧盟)引入强制性要求)。
虽然ICO目前能够为严重数据泄露最多500,000英镑,但Cravero表示,这可能会在GDPR下显着增加。然而,他说,对品牌形象的损害是“真正的击中”企业应该担心客户的信息是否受到损害。
据Cravero介绍,有许多其他途径公司将不得不考虑最小化损失和解决网络事件。
公关将形成一个重要的缓解工具,特别是在需要强制性或公共通知的情况下。“在新闻稿的内容方面有效且有效地进行计划,以及如何通过特定操作展示新闻稿的真实性。
“追查攻击者和对攻击者的诉讼也可能是一种选择,可能需要在任何网络保险政策下提出索赔”,“克雷戈罗说。
他补充说,公司也应该注意当前的系统是由于NIS指令和GDPR的到来,预计2015年底或2016年初的GDPR的变化。
“NIS指令是欧盟对如何最佳预防和响应网络中断和攻击的愿景的编纂,并将向提供基本服务的公司,如关键的互联网推动者和关键基础设施运营商,包括电子商务平台,社会克罗卡雷说,能源,运输,银行和医疗保健的网络和运营商。
一旦生效,NIS指令要求这些组织通知监管机构对公司服务连续性产生重大影响的安全事件。然而,监管机构可以选择通知公众,从事有关公司的关键战略决定。
该指令还需要涵盖的公司展示有效利用安全政策和措施。
“未能这样做,很可能会导致声誉损害,损失客户,并可能违反GDPR,导致更严重的执法行动,”克雷戈罗说。
虽然NIS指令预计很快最终确定,但GDPR被认为是在2016年初完成的。
“重要的是,在GDPR下,数据控制器 - 收集个人数据的主要实体 - 即使数据处理被外包或分包给云服务提供商,也将对数据泄露承担责任。
“但是数据处理器应该照顾,因为GDPR也将第一次施加对他们的直接义务,”克雷戈罗说。
他说,将在GDPR进入的当前情况的关键变化与强制性通知和罚款水平有关。
根据GDPR公司,需要在44或72小时后向ICO通知ICO,从发现时期。“但精确的时间范围是目前是关键粘附点之一,”Cravero说。
他说,未能遵守GDPR,将使公司罚款高达100万欧元或5%的全球营业额的5%,以较大者为准。
“这明显大于目前的ICO最多500,000英镑 - 这意味着一个网络事件可能会拼写一项业务的终结,”克罗卡雷说。
“正如我们对GDPR的实施一样,确保您了解它将如何适用于您的业务,因此您可以获得必要的政策,程序和技术,以及您根据必要的情况下,您可以根据需要进行必要的政策,程序和技术他补充说,当网络攻击发生时,法规犯规。“
总之,Cravero表示,培训员工并提供明确且易于阅读的政策,以展示如何执行所需的内容,并了解所有合同风险和义务。
他补充说,管理您接受的风险也很重要,或者确保作为客户的必要保险,考虑适当的网络或其他保险,并考虑更新遵守自愿标准并通过正式认证展示遵守情况。
Cravero表示,公司还应该了解不断变化的监管景观,并确保所有涉及的各方都明白这一迅速不断发展的地区。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。