К числу распространенных видов мошенничества в Facebook Messenger относятся просьбы сообщить коды аутентификации, поддельные страницы благотворительных организаций с просьбой о пожертвовании, сообщения с советами по инве...
Организации все чаще несут ответственность за утечку данных сотрудников. Но работодатели могут принять меры для снижения вероятности и последствий утечки данных.
Любая организация, использующая электронную систему расчета заработной платы и премий, хранит и обрабатывает конфиденциальные данные сотрудников, то есть это практически каждая современная организация. Кибератака, в результате которой компрометируются данные сотрудников, сопряжена со многими рисками, включая юридическую ответственность, остановку бизнеса и репутационный ущерб.
Что такое ответственность работодателя?
Ответственность работодателя — это юридическая ответственность организации за соблюдение законов и правил. Ответственность работодателя обычно распространяется на такие аспекты, как заработная плата, налоги на заработную плату, ущемление прав и дискриминация.
Например, сотрудники могут подать в суд на своего работодателя, если в организации создается небезопасная или враждебная рабочая среда. Компании придется возместить ущерб, если суд вынесет решение в пользу сотрудников.
Что такое ответственность работодателя за кибербезопасность?
Когда речь идет о кибербезопасности, работодатель обязан защищать личную идентифицирующую информацию (PII) сотрудников. Что именно представляет собой личная идентифицирующая информация, зависит от юрисдикции. Обычно под личной идентифицирующей информацией сотрудника следует понимать данные, которыми управляют отдел кадров и бухгалтерия.
К распространенным типам личной идентифицирующей информации сотрудников относятся:
- Номера социального страхования (SSN)
- Водительские права
- Паспорта
- Идентификационные номера налогоплательщиков (ИНН)
- Домашние адреса
- Личная финансовая информация (например, зарплата или капитал), банковские счета и кредитные/дебетовые карты
- Медицинские карты
- Адреса электронной почты и номера телефонов
Расширение сферы ответственности работодателя
Почти все, что считается личной идентифицирующей информацией сотрудников, совпадает с личной идентифицирующей информацией клиентов. До недавнего времени многие иски, поданные против организаций после утечки данных, были связаны с раскрытием информации о клиентах.
Однако коллективные иски, в которых работодатели обвиняются в халатности, нарушении договора или недобросовестной деловой практике по отношению к своим сотрудникам, набирают популярность в судах, вынуждая работодателей брать на себя ответственность. После того как в ноябре 2018 года Верховный суд Пенсильвании постановил, что работодатели по общему праву должны защищать личную идентифицирующую информацию сотрудников, его примеру последовали суды на федеральном, государственном и местном уровнях.
Важно отметить, что за утечку данных сотрудников несут ответственность работодатели, а не сторонние поставщики.
В иске, поданном бывшим сотрудником биофармацевтической компании, Апелляционный суд США по третьему округу постановил, что для привлечения работодателя к ответственности за утечку данных достаточно нанести потенциальный ущерб. Когда в результате утечки данных из программного обеспечения для расчета заработной платы биофармацевтической компании произошла утечка, ответственность за публикацию данных о сотрудниках в даркнете нес работодатель, а не компания-разработчик программного обеспечения.
Конфиденциальность данных сотрудников
Стандартные правила о конфиденциальности данных, такие как Закон Калифорнии о защите персональных данных потребителей (CCPA) и Общий регламент защиты персональных данных (GDPR) Европейского союза, также содержат положения, требующие от работодателей защищать конфиденциальность данных сотрудников так же строго, как и данные клиентов.
Согласно GDPR организации должны получить добровольное и четкое согласие на сбор, хранение и использование данных сотрудников. Например, они должны сообщить, как будут использоваться данные персонала.
Что представляет собой ответственность работодателя после кибератаки?
CommonSpirit Health, одна из крупнейших систем здравоохранения в США, пострадала от атаки программ-вымогателей в октябре 2022 года, которая затронула более 623 000 человек. Сеть больниц закрыла систему, чтобы предотвратить дальнейший ущерб ИТ-среде, включая электронную систему учета времени и начисления заработной платы. В результате сбоя компания потеряла доход в размере 150 миллионов долларов.
После того как компания в конце концов восстановила работоспособность своих систем, медсестринский персонал в ряде объектов компании в Орегоне заявил, что недополучил зарплату за последующие после атаки периоды. В последующем иске профсоюз, представляющий интересы работников некоторых предприятий сети в Орегоне, требует возмещения ущерба в размере 1,5 млн долларов для более чем 600 сотрудников в связи с невыплатой заработной платы, штрафов за просрочку платежей и других убытков.
В то время как этот иск направлен на возмещение невыплаченной заработной платы, другие иски работников касаются возмещения ущерба, связанного с повышенным риском или возникновением кражи личных данных сотрудников, чьи данные были раскрыты в результате атаки.
Среди недавних исков, в которых заявлялось об ответственности работодателя после кибератаки, можно назвать следующие:
- Five Guys — раскрытие номеров социального страхования и водительских прав соискателей.
- San Francisco 49ers — кража имен, дат рождения и номеров социального страхования сотрудников.
- Macmillan — атака программ-вымогателей, в результате которой были опубликованы данные сотрудников в даркнете и произошла кража личных данных.
Влияние кибератаки на бизнес
Как и в случае с утечкой данных CommonSpirit, кибератаки затрагивают предприятия в ряде других областей.
- Юридическая ответственность. Компании могут нести ответственность за убытки, возникшие в результате утечки данных сотрудников. К таким убыткам могут относиться расходы на замену кредитных или дебетовых карт, стоимость мониторинговых отчетов или другие расходы, связанные с эмоциональным расстройством из-за риска кражи личных данных.
- Регуляторные штрафы. Компании могут столкнуться с регуляторными штрафами, включая штрафы за нарушение или неспособность раскрыть информацию о нарушении пострадавшим сторонам.
- Репутационные издержки. Репутационные издержки могут серьезно подорвать доверие клиентов и снизить эффективность бизнеса. Испорченный публичный имидж, в том числе среди потенциальных будущих сотрудников, может поставить под угрозу благополучие бизнеса в долгосрочной перспективе.
- Перебои в работе, восстановление и капитальный ремонт ИТ-систем. Несмотря на то, что ФБР рекомендует воздержаться от этого, организации могут пойти на выплату выкупа для восстановления доступа к своей среде. В любом случае в рамках затрат на экспертизу и восстановление после утечки информации компании, скорее всего, будут вынуждены изменить, заменить или обновить ИТ-системы, обрабатывающие данные сотрудников и другие конфиденциальные данные.
Как снизить ответственность работодателя в случае кибератаки?
Ответственность работодателя и соблюдение правил конфиденциальности повышают риск и без того высокие расходы на реагирование на кибератаки.
Согласно отчету по кибербезопасности в США за 2022 г. Keeper в среднем американский бизнес ежегодно сталкивается примерно с тремя успешными кибератаками. Средняя стоимость превышает 75 000 долларов США, причем 37% организаций выплачивают по 100 000 долларов и более за одну кибератаку. Для предприятий малого и среднего бизнеса стоимость может быть опустошительной.
Работодатели могут снизить ответственность в случае кибератаки на данные сотрудников, обеспечив их защиту следующим образом:
- Тренинг по кибербезопасности. Если сотрудники могут обнаружить подозрительную ссылку или вложение, они могут уберечь своего работодателя от неприятностей. Обучение сотрудников распространенным признакам фишинга или программ-вымогателей помогает сотрудникам и организациям не стать жертвами атак.
- Политика конфиденциальности сотрудников. В некоторых областях политика конфиденциальности данных сотрудников может требоваться по закону. Политики конфиденциальности данных сотрудников объясняют, как будет осуществляться сбор, хранение и использование данных сотрудников.
- Настройка надежных паролей. Причиной более 80% утечек данных становятся слабые, украденные или повторно используемые пароли. Возможность создавать и хранить надежные и случайные пароли позволяет сотрудникам нивелировать наиболее распространенную причину утечки данных.
- Управление привилегиями. Решение для управления привилегиями позволяет организациям контролировать разрешения и отслеживать использование критически важных учетных записей, тем самым ограничивая риск несанкционированного доступа к конфиденциальной информации.
- Безопасность поставщиков. Важно отметить, что ответственность за утечку данных несут работодатели, а не третьи лица. Обеспечение безопасности поставщиков имеет решающее значение для создания надежной ИТ-среды.
- Планы реагирования на инциденты. План реагирования на инциденты, в котором распределены обязанности по таким важным видам деятельности, как экспертиза систем, восстановление данных и стратегические коммуникации, должен смягчить ответственность и уменьшить общие последствия утечки информации для работодателя.
- Киберстрахование. Киберстрахование может уменьшить последствия утечки, помогая компаниям снизить риски и покрыть расходы на реагирование. Для организаций с низким уровнем развития ИТ, которые находятся в зоне повышенного риска взлома, многие полисы киберстрахования предлагают оценку готовности для совершенствования методов обеспечения безопасности и программ обучения сотрудников.
Ответственность работодателя и управление привилегированным доступом
Работодатели могут смягчить ответственность и риски, контролируя и отслеживая доступ к конфиденциальным учетным записям и информации.
Keeper Privileged Access Manager (KeeperPAM) был создан для защиты многооблачных сред без периметра от кибератак. Обеспечивая управление паролями, секретами и привилегированными соединениями корпоративного уровня на простой платформе, KeeperPAM позволяет организациям экономически эффективно сократить площадь атак и защитить сотрудников и устройства.