2018年,联邦调查局’的互联网犯罪投诉中心(IC3)每天收到900多起有关互联网犯罪的投诉。总共有超过35万宗投诉,涉及27亿美元的损失。商业企业妥协(BEC)是最常见和最重要的。
这些骗局涉及使用欺诈性电子邮件,指示收件人不经意间将付款电汇给犯罪分子’银行账户,2018年共处理了20,000多个投诉,损失高达12亿美元。’经济犯罪部门调查这些投诉,目的是追回欺诈性挪用的资金。
“Michael”是一位退休的联邦调查局外勤特工,自成立以来就在该部门工作。在他的允许下,以下是我们最近谈话的摘要。
本月,司法部发布了一套相当全面的网络安全事件前后建议。对于您所有的极客,您可以得到全部 这里 。对于那些忙于其他新闻的人,这里’s some highlights.
事发前,司法部建议制定违规应对计划。我们’在这一点上,所有人都反复听到了这一点,许多公司和公司仍然没有可行的响应计划。司法部强调的这些计划的一些重要组成部分包括:(1)确定您最重要的资源并优先考虑对其进行保护; (2)拥有清晰的内部和外部报告结构,其重点是遏制事件,减轻其影响并保留信息,以便以后了解事件的范围和来源; (3)识别并与在您所在行业或管辖范围内具有管辖权的适用的执法部门和监管机构建立关系; (4)最终针对关键信息资产的使用和访问制定适当的政策和程序,并投资适当的技术保护。
事发后,司法部基本上建议– wait for it –按照您制定的事前计划。
2018年5月18日,科罗拉多州立法机关发送了 HB 18-1128,关于加强对消费者数据隐私保护的法案,’办公桌执行。该法案是各州针对今年宣布的一系列重大违规行为做出的一系列近期努力之一,其中包括Equifax,Facebook,Panera Bread,Under Armour和– well, you get it.
该法案模仿了朝着欧盟采用更高,更具体的标准迈进的趋势’通用数据保护条例。例如,HB-18-1128取代了‘在切实可行的范围内’违规通知要求,其期限不得早于确定违规发生之日起30天。那’比GDPR的纬度更大’似乎不可能达到72小时的时限(当然,在可行的情况下),但这是监管机构的另一个指示’坚持确定的时间表。
与GDPR一样,科罗拉多州法案明确规定必须维护数据“不再需要”数据最小化的增长趋势的一个例子。关于安全措施本身,该法案要求“适用于个人识别信息的性质以及企业及其运营的性质和规模的合理安全程序和惯例,” a ‘商业上合理的’同样反映GDPR的各种标准(鉴于许多因素,采取了适当的技术和组织措施)。要再有一个相似之处吗?该法案要求受保护实体授权第三方服务提供商实施合理的安全措施,这是另一趋势,这反映在GDPR和全国各地正在通过或提议的新立法中。
卫生与公共服务’(HHS)民权办公室最近向Lincare,Inc.处以239,000.00美元的HIPAA罚款。’不知道罚款是否会被网络保险所覆盖。我不’甚至不知道公司是否有网络保险。
我所知道的是事实模式突出了医疗保健实体的关键保险问题。 Lincare违规不涉及电子记录。一名员工在家中存储了278名患者的身体记录。员工搬家时,他将记录留在了后面。他们是由第三方发现的,– surprise –无权访问它们。本月初,鉴于泄露的记录数量不多,一位行政法法官确认了相对较高的罚款。
有林卡’如果违反电子品种,则具有监管覆盖范围的网络保险保单很可能会占据上风(当然,这取决于保单语言)。当涉及实物文件时,情况更加复杂。那里’s 判例法 关于物理数据泄露如何与其他类型的保险(例如商业一般责任(CGL))相互作用的信息,但是我’我尚未发现任何确定物理违规行为是否会触发网络保险覆盖率的举报案例(如果您有,请告诉我)。
是的,我’我晚会晚了。一个月前,奥巴马总统签署了《 2015年网络安全法案》,成为法律。大量墨水已经散落在上面。该法案鼓励但不要求公司之间以及与联邦政府共享有关数据泄露和响应的信息。大部分的‘controversy’以行为为中心’认为共享其信息的个人缺乏隐私保护。
打哈欠。
隐私很重要。应采取措施保护个人’数据,并且该行为的确包含了至少某种程度的保护。无论’s仍有待观察。
网络保险法博客