Sì, su Cash App circolano vari tipi di truffa, tra cui la compravendita di contanti, i pagamenti accidentali e i messaggi di phishing. Le truffe che
Le organizzazioni sono ritenute sempre più responsabili delle violazioni dei dati dei dipendenti. La buona notizia è che i datori di lavoro possono adottare diverse misure per mitigare la probabilità e l’impatto delle violazioni dei dati.
Qualsiasi organizzazione che utilizza un sistema elettronico di gestione delle buste paga e dei benefit salva ed elabora i dati sensibili dei dipendenti, un dato di fatto valido praticamente per ogni azienda attualmente operativa. I rischi legati agli attacchi informatici che compromettono i dati dei dipendenti sono molti, tra tutti, la responsabilità legale, l’interruzione dell’attività e i danni alla reputazione.
In cosa consiste la responsabilità del datore di lavoro?
È la responsabilità a livello legale di un’organizzazione di aderire alle leggi e ai regolamenti in vigore. La responsabilità dei datori di lavoro si applica in genere ad aree come i salari, le imposte sui salari, le molestie e la discriminazione.
Ad esempio, i dipendenti possono citare in giudizio il proprio datore di lavoro se l’organizzazione di cui fanno parte promuove un ambiente di lavoro non sicuro od ostile. Quando il tribunale decide a favore dei dipendenti, l’azienda deve pagare i danni.
In cosa consiste la responsabilità dei datori di lavoro in materia di sicurezza informatica?
Quando si tratta di sicurezza informatica, le organizzazioni sono obbligate a proteggere le informazioni di identificazione personale (PII) dei dipendenti. Tuttavia, le informazioni di identificazione personale variano da una giurisdizione all’altra. In generale, è utile pensare alle PII dei dipendenti come ai dati gestiti dalle risorse umane e dai team di contabilità.
I tipi più comuni di PII dei dipendenti includono:
- Numeri di previdenza sociale
- Patenti di guida
- Passporti
- Numeri di identificazione fiscale (TIN)
- Indirizzi di casa
- Informazioni finanziarie personali (come stipendi o eventuali capitali), conti bancari e carte di credito/debito
- Informazioni sanitarie
- Indirizzi e-mail e numeri di telefono
La crescente responsabilità dei datori di lavoro
Gran parte delle PII dei dipendenti corrisponde a quelle dei clienti. Fino a poco tempo fa, molte delle cause legali intentate contro le organizzazioni dopo una violazione dei dati erano incentrate sulla divulgazione dei dati dei clienti.
Tuttavia, queste class-action che sostengono che i datori di lavoro sono stati negligenti, hanno violato un contratto o adottato pratiche commerciali sleali nei confronti dei propri dipendenti stanno guadagnando il favore dei tribunali e creando non pochi grattacapi alle organizzazioni coinvolte. Da quando la Corte Suprema della Pennsylvania ha stabilito, nel novembre 2018, che i datori di lavoro hanno il dovere di proteggere le PII dei dipendenti, i tribunali a livello federale, statale e locale hanno seguito l’esempio.
Inoltre, è importante sottolineare anche che sono i datori di lavoro a essere ritenuti responsabili quando si verificano violazioni dei dati dei dipendenti, non i fornitori di terze parti.
In una causa intentata da un ex dipendente di un’azienda biofarmaceutica, la Corte d’Appello degli Stati Uniti per il Terzo Circuito ha stabilito che il datore di lavoro può essere ritenuto responsabile anche quando la violazione dei dati può rappresentare un danno potenziale. Quando il sistema di gestione delle buste paga dell’azienda biofarmaceutica ha subito una violazione e i dati sono stati divulgati, è stato il datore di lavoro a essere ritenuto responsabile della pubblicazione dei dati dei dipendenti sul dark web, non l’azienda che aveva fornito tale software.
Privacy dei dati dei dipendenti
Le normative sulla privacy dei dati di tipo standard, come il California Consumer Privacy Act (CCPA) e il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea, includono disposizioni che richiedono ai datori di lavoro di proteggere la privacy dei dati dei dipendenti con la stessa severità con cui trattano le informazioni dei clienti.
Ai sensi del GDPR, le organizzazioni devono ottenere il consenso volontario e chiaro dei dipendenti per raccogliere, archiviare e utilizzare i loro dati. Ad esempio, devono indicare come verranno utilizzati i dati dalle risorse umane.
Qual è la responsabilità dei datori di lavoro dopo un attacco informatico?
CommonSpirit Health, uno dei più grandi sistemi sanitari negli Stati Uniti, ha subito un attacco ransomware nell’ottobre 2022 che ha colpito più di 623.000 persone. La catena ospedaliera ha arrestato il sistema interessato per evitare ulteriori danni al proprio ambiente IT, tra cui il sistema di conteggio elettronico delle ore e del libro paga. L’azienda ha perso 150 milioni di dollari di entrate a causa dell’interruzione.
Una volta ripristinato il servizio sui propri sistemi, gli infermieri di alcune delle sedi dell’azienda in Oregon hanno riferito di aver ricevuto uno stipendio inferiore al dovuto nei periodi di paga successivi all’attacco. In una causa ancora in corso, il sindacato che rappresenta i dipendenti in alcune delle sedi della catena in Oregon ha chiesto 1,5 milioni di dollari di danni per oltre 600 dipendenti a causa di salari non pagati, penalità di ritardo nei pagamenti e altri danni.
Nonostante questa causa miri al risarcimento dei salari non pagati, altre cause intentate dai dipendenti hanno cercato di ottenere i danni legati all’aumento del rischio o al potenziale furto di identità per i dipendenti i cui dati sono stati violati durante gli attacchi.
Tra le più recenti cause in corso per la presunta responsabilità del datore di lavoro dopo un attacco informatico vi sono:
- Five Guys, per la divulgazione dei numeri di previdenza sociale e delle patenti di guida di persone che avevano presentato una domanda di lavoro
- San Francisco 49ers, per il furto di nomi, date di nascita e numeri di previdenza sociale dei dipendenti
- Macmillan, per un attacco ransomware che ha portato alla pubblicazione dei dati dei dipendenti sul dark web e al furto di identità
L’impatto aziendale di un attacco informatico
Come per la violazione di CommonSpirit, gli attacchi informatici hanno un grosso impatto sulle aziende in diverse aree.
- Responsabilità legale: le aziende possono essere ritenute responsabili dei danni dopo la violazione dei dati dei dipendenti. Tali danni possono includere il costo della sostituzione delle carte di credito o di debito e delle segnalazioni di monitoraggio o altre spese legate al disagio emotivo dovuto al rischio di furto d’identità.
- Sanzioni normative : le aziende possono incorrere in sanzioni normative, tra cui multe per la violazione o la mancata divulgazione della violazione alle parti interessate.
- Danni alla reputazione : i costi reputazionali possono compromettere gravemente la fiducia dei clienti e le performance aziendali. Un’immagine pubblica compromessa, incluso agli occhi dei potenziali futuri dipendenti, può mettere a rischio la salute di un’azienda a lungo termine.
- Interruzione, ripristino e revisione dei sistemi IT : nonostante l’FBI lo sconsigli, le organizzazioni possono scegliere di pagare un riscatto per ripristinare l’accesso al loro ambiente. In ogni caso, nell’ambito dei costi di analisi forense e di recupero di qualsiasi violazione, le aziende devono probabilmente cambiare, sostituire o aggiornare i sistemi IT che elaborano i dati dei dipendenti e altre informazioni sensibili.
Come ridurre la responsabilità dei datori di lavoro in caso di attacco informatico
La responsabilità dei datori di lavoro e la conformità alle normative sulla privacy aggiungono rischi e ulteriori costi alle già elevate spese necessarie a rispondere a un attacco informatico.
Secondo l’US Cybersecurity Census di Keeper del 2022, le aziende statunitensi sono vittima, in media, di tre attacchi informatici ogni anno. Il costo medio supera i 75.000 dollari, con il 37% delle organizzazioni che ne pagano 100.000 o più per attacco informatico. Per le piccole e medie imprese, l’impatto può essere devastante.
I datori di lavoro possono ridurre la loro responsabilità in caso di attacco informatico ai dati dei dipendenti assicurandosi di essere coperti nei seguenti modi:
- Formazione di sensibilizzazione sulla sicurezza informatica: quando i dipendenti possono individuare un link o un allegato sospetto, sono in grado anche di tenere il loro datore di lavoro fuori dai guai. L’educazione dei dipendenti sui potenziali segnali di phishing o ransomware protegge i dipendenti e le organizzazioni dagli attacchi.
- Informativa sulla privacy dei dipendenti : in alcune aree, tale informativa sulla privacy dei dati dei dipendenti potrebbe essere richiesta per legge. Le policy sulla privacy dei dati dei dipendenti spiegano come verranno raccolte, archiviate e utilizzate le informazioni del personale.
- Impostare password forti : oltre l’80% delle violazioni dei dati è dovuto a password deboli, rubate o riutilizzate. Avere a disposizione uno strumento in grado di creare e archiviare password sicure e casuali consente ai dipendenti di prevenire la causa più comune di violazione dei dati.
- Gestione dei privilege : una soluzione di gestione dei privilegi consente alle organizzazioni di controllare le autorizzazioni e monitorare l’utilizzo di account critici, limitando il rischio di accessi non autorizzati alle informazioni sensibili.
- Sicurezza dei fornitori : è importante sottolineare che i datori di lavoro sono ritenuti responsabili delle violazioni dei dati quando un fornitore fa trapelare dati, non le terze parti. Garantire la sicurezza dei fornitori è fondamentale per creare un ambiente IT forte.
- Piani di risposta agli incidenti : un piano di risposta agli incidenti, che assegna la gestione di attività critiche come l’analisi dei sistemi, il recupero dei dati e le comunicazioni strategiche, dovrebbe mitigare la responsabilità e l’impatto complessivo di una violazione nei confronti di un datore di lavoro.
- Assicurazione informatica : stipulare un’assicurazione informatica può ridurre l’impatto di una violazione, aiutando le aziende a mitigare il rischio e a coprire i costi legati a tale risposta. Per le organizzazioni con una scarsa maturità IT, quindi, maggiormente a rischio di subire violazioni, molte polizze di assicurazione informatica offrono anche la possibilità di migliorare le pratiche di sicurezza e propongono programmi di formazione dei dipendenti.
Responsabilità dei datori di lavoro e gestione degli accessi privilegiati
I datori di lavoro possono mitigare la responsabilità e i rischi controllando e monitorando gli accessi agli account e alle informazioni sensibili.
Keeper Privileged Access Manager (KeeperPAM) è stato creato per proteggere gli ambienti multi-cloud e senza perimetro dagli attacchi informatici. Consentendo la gestione delle password, dei segreti e delle connessioni privilegiate a livello aziendale grazie a una semplice piattaforma, KeeperPAM permette alle organizzazioni di ridurre la loro superficie di attacco e di proteggere dipendenti e dispositivi.