Законы об уведомлении о взломе данных:как произвести уверенный ответ

Поскольку количество сообщаемых утечек данных неуклонно растет с каждым годом, они настолько часто появляются в новостях, что их трудно удержать в чистоте. В 2017 году компания Equifax подверглась массовому взлому, и было украдено почти 150 миллионов клиентских записей (что составляет почти половину населения США). В 2018 году в Marriott International произошла утечка информации, в результате которой были скомпрометированы сотни миллионов записей клиентов, включая личную информацию, номера кредитных карт и даже номера паспортов.

Утечки данных затрагивают все типы организаций - большие и маленькие, популярные и малоизвестные. В то время как о взломах крупных компаний попадают в новости, вы редко слышите о небольших компаниях, которые часто уязвимы и могут оказаться под прицелом киберпреступников. Большинство из них связано с каким-либо типом взлома, например фишинговыми атаками или вредоносным ПО, когда злоумышленник успешно получает доступ к защищенной или частной информации.

Законы об уведомлении о взломе данных - это сложно

Если в вашей производственной компании возникнет нарушение, что вы будете делать? Следует ли вам немедленно уведомить правоохранительные органы? Уведомить клиентов? Есть ли еще кто-нибудь, чтобы сообщить? Как долго у вас есть?

Ответы сложные. Хотя всеобъемлющих федеральных законов не существует, в каждом штате и территории действует собственный закон об уведомлении об утечке данных. Эти законы требуют от всех, кто страдает или даже подозревает о нарушении, уведомлять клиентов обо всем, что касается личной информации. Законы также требуют уведомления правоохранительных органов и принятия конкретных мер для исправления ситуации. Но законы штатов значительно различаются, когда речь идет о типах охватываемой информации, сроках уведомлений и стандартах отчетности. Кто должен соблюдать и что даже составляет личные данные, зависит от штата. В добавление к сложности, требования также меняются:некоторые штаты недавно обновили свои законы.

Сколько времени у меня есть, чтобы сообщить об утечке данных?

Большинство законов об уведомлении о данных требуют, чтобы предприятия уведомляли клиентов без необоснованной задержки. Продолжительность зависит от штата и отрасли. При борьбе с утечкой данных производители несут конкурирующие обязанности - перед своей компанией, перед другими участниками отрасли, перед клиентами и правоохранительными органами. Бывают даже обстоятельства, когда правоохранительные органы расследуют нарушение, и оно должно быть временно скрыто.

Подготовьтесь к утечкам данных, прежде чем они произойдут

Относитесь к планам уведомления об утечке данных так же, как и к любому другому плану на случай стихийных бедствий - не ждите! Поскольку не существует единого стандартного ответа на утечку данных, производители США должны понимать применимые к ним законы штата и федеральные законы. Производители должны соблюдать законы всех штатов, в которых они ведут свою деятельность.

К счастью, есть несколько отличных ресурсов, к которым производители могут обратиться для большей ясности. Несколько организаций обобщают законы штата о защите данных, включая Национальную конференцию законодательных собраний штатов, Управление ИТ и Perkins Coie.

Чтобы гарантировать, что ваша производственная компания соблюдает законы о защите данных, вы должны быть в курсе текущих правил для вашего штата и отрасли. Нарушение данных всегда будет стрессовым событием. Осведомленность о своих обязательствах и наличие плана могут частично снизить стресс - и помочь вам избежать крупных штрафов. Вот несколько советов:

• Укажите законы штата и отрасли, которые распространяются на вашу компанию.
• Задокументируйте требования к уведомлению об утечке данных, которые влияют на вашу компанию, а также процесс (ы) для выполнения этих требований в наихудшем сценарии.
• Создайте политику в отношении требований к уведомлению о нарушениях, которые влияют на вашу компанию.
• Если есть частично совпадающие правила, выберите наиболее строгий из правил политики вашей компании.
• Создавайте черновики уведомлений и электронных писем заранее.
• Разработайте четкую коммуникационную стратегию в случае утечки данных и, при необходимости, заблаговременно сообщите об этом через юридический отдел и отдел по связям с общественностью вашей компании.

Национальная сеть Европарламента готова вам помочь

Чтобы разобраться в законах вашего штата об уведомлении об утечке данных и по другим вопросам кибербезопасности, вы можете обратиться в один из 51 центра MEP, расположенных во всех 50 штатах и ​​Пуэрто-Рико, которые являются частью Национальной сети MEP ^TM .