避免数据泄露报告中的障碍:CISO需要了解的内容

越来越多的美国报告要求中的歧义使CISO难以入夜:即使他们可以证明数据没有被篡改,是否也会被迫报告每一次违规?专家建议如何避免麻烦。

Data loading= open padlock allowing illicit streaming data collection" itemprop="contentUrl" />
Arkadiusz Wargua /盖蒂图片社

未能向美国监管和执法机构报告敏感数据泄露事件,对于CISO及其组织而言,变得更加危险和困惑。如果该失败被视为掩盖,例如为获取敏感数据而支付赎金,则可能导致高额罚款或入狱。

在一个 案件 现在正在播放,前优步CISO的乔·沙利文(Joe Sullivan)最近 带电 可以追溯到1789年 重罪。联邦调查局(FBI)在收费文件中声称,沙利文(Sullivan)偿还攻击者以获取数据的行为类似于协助和教crime犯罪。如果此案胜诉,它将使企业停顿下来,因为他们被迫举报任何可能是针对其组织的数据犯罪。

“挪用是非常微妙的犯罪。法定用语说,如果您看到犯罪而没有举报,您即构成犯罪。”著名网络律师兼SANS讲师Ben Wright说。 “根据这项法律,联邦政府并未提出很多指控,因为法院早已认识到您不能从字面上接受这些字眼,否则企业几乎必须举报任何看起来像犯罪的事情。”

勒索软件的响应变得更加复杂

在另一个示例中,美国财政部于10月1日发布了 咨询 称支付赎金可能违反外国资产控制办公室(OFAC)的制裁 勒索软件 操作员。联邦调查局(FBI)支持并强制执行此咨询。两周前,联邦调查局(FSO)发表声明说,联邦调查局(FBI) 不会向商家收费 向勒索软件运营商付款。

这些OFAC制裁要求将很难遵循,因为它们依靠受害组织来了解谁是勒索软件运营商,而通常他们却不知道。 OFAC唯一受制裁的实体是朝鲜的Lazarus,BlueNorOff和AndAriel(据信是Lazarus的单位),以及俄罗斯及其Dridex的EvilCorp。 恶意软件,因此付款中介机构必须致电财政部的网络部门,FBI,DHS或特勤局,以检查勒索软件运营商是否属于受制裁的组织。提出勒索软件需求时,至关重要的是时间,尤其是当这些支付中介机构代表卫生服务组织 人类生活 在线上。

IT-Harvest首席研究分析师,前Gartner分析师Richard Stiennon说:“对违规响应进行计时至关重要。” “从发现漏洞开始,CISO一直在争分夺秒,以减少数据泄露的时间,同时还进行影响评估。”

执法机构在定义为可报告的违规行为方面也有所不同。根据美国卫生与公众服务部(HHS)的规定,违规行为是“未经允许的使用或披露……会损害受保护的健康信息的安全性或隐私性。”在Uber案中,经修订的决定将违反行为称为“涵盖事件”,意思是“在任何情况下,任何美国联邦,州或地方法律或法规都要求通知有关未经授权直接或间接收集或接收消费者个人信息的情况。”

处理违规报告的歧义

“我一直都有这样的模棱两可的案例:勒索软件攻击是联邦犯罪,是否应该报告?如果您通过漏洞赏金计划向勒索软件运营商付款怎么办?事实发生后,您是否向罪犯提供物质支持?”网络律师兼美国司法部网络犯罪部门的创始人马克·拉施(Mark Rasch)说。 “这就是为什么将您的法律团队与事件响应者整合在一起至关重要。不要仅仅依靠CISO的话,因为他可能无法从其IR团队那里获得整个故事。”

首先根据适用于您的业务的最严格的法规要求制定政策手册。 Steinnon建议,在计划上签字并在桌面练习中练习您的响应和报告周期。 “您的政策应说,'我们承认内部有X天的违规行为。'然后在72小时内通知监管机构,这与《破产保护法》中规定的最严格要求一致 GDPR,即使您只是发现的一部分。”他解释说。

Steinnon还建议您了解所在州的违规报告要求,尤其要注意全面 加州消费者隐私法 (CCPA)。 Rasch补充说,还要了解直接向执法机构报告的违反法律。例如, 格拉姆-里奇-布莱利法案(GLBA)通知是通过联邦贸易委员会(FTC)执行的,并提供报告建议 这里。 FTC还强制执行 与医疗保健相关的违规行为 可能不属于《健康保险可移植性和责任法案》(HIPAA)所涵盖的范围,而与HIPAA相关的违规行为应报告给 HHS.    

公司需要一个成熟的过程来保护数据和响应事件。否则,Rasch说:“当公司倒闭时,FTC将迫使他们采取公司应做的所有事情来保护数据并提供有关该事实的文档长达20年。”

就优步而言,该公司 同意 向FTC提供为期20年的半年度评估报告,以及因人员变​​动,合并,系统变更或幻灭而宣誓遵守的报告,该报告因“伪证罪”而宣誓成立。优步还同意遵循一项类似于 NIST网络安全框架.

这些要求中的大多数在违约后协议中很常见,但是执法机构还针对每种情况专门定制要求。例如,从美联储的角度来看,Uber滥用其赏金计划来偿还黑客,因此FTC的 修改后的建议订单 要求Uber提交与漏洞赏金报告相关的记录。他补充说,在其他解决方案中这不是必须的,除非赏金计划被类似地滥用。

Rasch指出了针对云提供商的勒索软件攻击的另一个示例 布莱克波特 涉及将部分数据暴露给勒索软件攻击者。 布莱克波特有证据表明,Blackbaud支付了赎金之后,该数据已被擦除,并且从不暴露。尽管可能不需要举报,但布莱克波特谨慎行事并作出了举报。作为回报,布莱克波特被起诉 集体诉讼 由其云客户感到暴露。

“在向监管机构和受影响的第三方报告之前,请问自己这是否是需要报告的实际数据泄露风险,” Rasch建议。 “如果没有共享数据并且已将其删除,并且您可以证明违规没有影响,那么最好不要进行报告。”

粘在胡萝卜上

很明显,联邦政府正试图迫使企业采取更好的安全措施,以防止发生可报告的违规行为。美国联邦贸易委员会已将其调查的违规案件汲取的经验教训汇总为 从安全开始 安全基础框架。财政部的OFAC提出了五点建议 制裁合规计划 在违反之前应用时,“ OFAC……在明显违反时会考虑对受检者有利。”

由于法律针对的是本质上本身就是受害者的组织,因此无法保证即使CISO所做的一切正确,也不会有任何后果。 “没有看到太多的奖励方面吗?”问西战略集团的创始人,前首席信息安全官鲍勃·韦斯特(Bob West)。 “我也不是。联邦机构使用错误的策略来促使企业和CISO采取正确的行动。人们和企业对激励措施的反应要比对惩罚措施的反应更好。”

版权© 2020 IDG通讯,Inc.