文章发表于 监管发展

2018年,联邦调查局’的互联网犯罪投诉中心(IC3)每天收到900多起有关互联网犯罪的投诉。总共有超过35万宗投诉,涉及27亿美元的损失。商业企业妥协(BEC)是最常见和最重要的。

这些骗局涉及使用欺诈性电子邮件,指示收件人不经意间将付款电汇给犯罪分子’银行账户,2018年共处理了20,000多个投诉,损失高达12亿美元。’经济犯罪部门调查这些投诉,目的是追回欺诈性挪用的资金。

“Michael”是一位退休的联邦调查局外勤特工,自成立以来就在该部门工作。在他的允许下,以下是我们最近谈话的摘要。

本月,司法部发布了一套相当全面的网络安全事件前后建议。对于您所有的极客,您可以得到全部 这里 。对于那些忙于其他新闻的人,这里’s some highlights.

事发前,司法部建议制定违规应对计划。我们’在这一点上,所有人都反复听到了这一点,许多公司和公司仍然没有可行的响应计划。司法部强调的这些计划的一些重要组成部分包括:(1)确定您最重要的资源并优先考虑对其进行保护; (2)拥有清晰的内部和外部报告结构,其重点是遏制事件,减轻其影响并保留信息,以便以后了解事件的范围和来源; (3)识别并与在您所在行业或管辖范围内具有管辖权的适用的执法部门和监管机构建立关系; (4)最终针对关键信息资产的使用和访问制定适当的政策和程序,并投资适当的技术保护。

事发后,司法部基本上建议– wait for it –按照您制定的事前计划。

2018年5月18日,科罗拉多州立法机关发送了 HB 18-1128,关于加强对消费者数据隐私保护的法案,’办公桌执行。该法案是各州针对今年宣布的一系列重大违规行为做出的一系列近期努力之一,其中包括Equifax,Facebook,Panera Bread,Under Armour和– well, you get it.

该法案模仿了朝着欧盟采用更高,更具体的标准迈进的趋势’通用数据保护条例。例如,HB-18-1128取代了‘在切实可行的范围内’违规通知要求,其期限不得早于确定违规发生之日起30天。那’比GDPR的纬度更大’似乎不可能达到72小时的时限(当然,在可行的情况下),但这是监管机构的另一个指示’坚持确定的时间表。

与GDPR一样,科罗拉多州法案明确规定必须维护数据“不再需要”数据最小化的增长趋势的一个例子。关于安全措施本身,该法案要求“适用于个人识别信息的性质以及企业及其运营的性质和规模的合理安全程序和惯例,” a ‘商业上合理的’同样反映GDPR的各种标准(鉴于许多因素,采取了适当的技术和组织措施)。要再有一个相似之处吗?该法案要求受保护实体授权第三方服务提供商实施合理的安全措施,这是另一趋势,这反映在GDPR和全国各地正在通过或提议的新立法中。

也许吧,但是他们’与上次大型保险授权相比,争议可能会少得多–呃,税。越来越多的共识是,证券交易委员会正在努力提高机构理财经理对网络保险的要求。许多人认为这是朝正确方向迈出的一步。

在最近 文章瑞克·贝特(Rick Baert)讨论了理财经理购买网络安全保险的频率越来越高的趋势,理财经理所占比例从2014年的5%增加到2015年的30%。根据其监管系统合规性和完整性规则进行审查。在这些审查中,SEC一直询问管理者是否具有网络覆盖范围,如果覆盖了网络覆盖范围,则为多少。有些人认为问题只是摆在墙上的文字–网络保险将很快成为理财师的必备条件。

那其他人呢?

卫生与公共服务’(HHS)民权办公室最近向Lincare,Inc.处以239,000.00美元的HIPAA罚款。’不知道罚款是否会被网络保险所覆盖。我不’甚至不知道公司是否有网络保险。

我所知道的是事实模式突出了医疗保健实体的关键保险问题。 Lincare违规不涉及电子记录。一名员工在家中存储了278名患者的身体记录。员工搬家时,他将记录留在了后面。他们是由第三方发现的,– surprise –无权访问它们。本月初,鉴于泄露的记录数量不多,一位行政法法官确认了相对较高的罚款。

有林卡’如果违反电子品种,则具有监管覆盖范围的网络保险保单很可能会占据上风(当然,这取决于保单语言)。当涉及实物文件时,情况更加复杂。那里’s 判例法 关于物理数据泄露如何与其他类型的保险(例如商业一般责任(CGL))相互作用的信息,但是我’我尚未发现任何确定物理违规行为是否会触发网络保险覆盖率的举报案例(如果您有,请告诉我)。

It’自欧盟使《安全港协议》失效以来已经过去了四个月,该协议允许美国公司尽管有欧盟也能将数据进出欧盟’更严格的隐私法。我写了关于 这里 .

在随之而来的“簇簇混洗”(商标用语)中,美国公司争先恐后地采纳了纳入欧盟的政策’s 合同范本范本。但是,这些条款引起了复杂的解释问题,特别是关于“data processors” 和 “data controllers.”这些名称推动了特定条款的适用性,并规定了处理欧盟数据的各方的责任范围。由于公司在这种情况下难以定义自己,大多数公司都希望有一个类似于先前的欧盟/美国安全港协议的更清晰,更精简的安排。

好吧’s 这里 .  Sort of.

是的,我’我晚会晚了。一个月前,奥巴马总统签署了《 2015年网络安全法案》,成为法律。大量墨水已经散落在上面。该法案鼓励但不要求公司之间以及与联邦政府共享有关数据泄露和响应的信息。大部分的‘controversy’以行为为中心’认为共享其信息的个人缺乏隐私保护。

打哈欠。

隐私很重要。应采取措施保护个人’数据,并且该行为的确包含了至少某种程度的保护。无论’s仍有待观察。

在欧盟,数据隐私是一项基本权利。考虑一下Gmail收件箱的生活,自由和神圣。欧盟 ’因此,数据隐私法律比美国的类似法律更为严格。从1995年开始,当欧盟’的法律开始生效,直到2000年,这对于在国际上开展业务的美国公司来说都是一个大问题。遵守更严格的数据隐私法非常昂贵,后勤困难并且– well –真的,真的很贵。

2000年7月26日,一切都变了。欧盟委员会通过了“安全港充分性决定.”这使美国公司可以选择接受自我证明,证明他们遵守了一套规定的US / EU数据隐私标准。

2015年10月6日,一切都变了。再次。