Facebook Messenger 上的一些常见诈
越来越多的组织因员工数据泄露 而被追究责任。 但雇主可以采取措施来降低数据泄露的可能性和影响。
任何使用电子工资和福利系统的组织都会存储和处理员工敏感数据,当今运营的每个组织几乎都是如此。 与盗取员工数据的网络攻击相关的风险有很多,包括法律责任、业务中断和声誉损失。
什么是雇主责任?
雇主责任是指组织遵守法律法规的法律责任。 雇主责任通常适用于工资、工资税、骚扰和歧视等问题。
例如,如果组织营造了一个不安全或恶劣的工作环境,员工可能会起诉雇主。 如果法院做出有利于员工的判决,公司就必须支付赔偿金。
什么是雇主的网络安全责任?
在网络安全方面,雇主责任要求组织保护员工的个人可识别信息 (PII)。 PII 的具体含义因司法管辖区而异。 一般来说,员工 PII 是指 HR 和会计团队管理的数据。
常见的员工 PII 类型包括:
- 社会保障号码 (SSN)
- 驾照
- 护照
- 纳税人识别号 (TIN)
- 家庭地址
- 个人财务信息(如工资或股权)、银行账户和信用卡/借记卡
- 医疗记录
- 电子邮件地址和电话号码
雇主责任的增加
大部分员工 PII 与客户 PII 相同。 以前,许多因数据泄露而导致组织遭受诉讼的案例都源于客户数据泄露。
但是,对雇主提起集体诉讼,指控其疏忽、违反合同或对员工实施不公平商业行为的案件在法庭上越来越受重视,使雇主陷入被动局面。 自从宾夕法尼亚州最高法院于 2018 年 11 月裁定雇主负有保护员工 PII 的普通法义务后,联邦、州和地方各级法院纷纷效仿。
重要的是,当员工数据遭到泄露时,应承担责任的是雇主,而非第三方提供商。
在一家生物制药公司的一名前员工提起的诉讼中,美国联邦第三巡回上诉法院认为,只要数据泄露会构成潜在损害,就可以认定雇主负有责任。 当这家生物制药公司的工资软件在数据泄露事件中泄露数据时,应对员工数据出现在暗网上承担责任的是雇主,而非软件公司。
员工数据隐私性
标准的数据隐私法规(如《加州消费者隐私法案》(CCPA) 和欧盟《通用数据保护条例》(GDPR))也有要求雇主像客户数据一样严格保护员工数据隐私的规定。
根据 GDPR 的规定,组织必须获得自愿且明确的同意,才能收集、存储和使用员工数据。 例如,他们必须明确如何使用 HR 数据。
遭到网络攻击后,雇主应承担哪些责任?
美国最大的医疗保健系统之一 CommonSpirit Health 于 2022 年 10 月遭到了一起勒索软件攻击,影响了超过 623,000 人。 这家连锁医院关闭了受影响的系统,以避免对 IT 环境造成进一步损害,包括电子计时和工资系统。 由于此次中断,该公司损失了 1.5 亿美元收入。
该公司最终恢复了系统服务后,该公司位于俄勒冈州的部分医院的护士报告称,在发生攻击后的多个工资周期内,他们未收到足额的工资。 在一起正在进行的诉讼中,代表俄勒冈州部分连锁医院员工的工会正在寻求 150 万美元的赔偿,涉及超过 600 名员工的未付工资、迟付工资罚款和其他损失。
在这起诉讼追偿未付工资的同时,其他员工诉讼则要求赔偿因个人数据在攻击中遭到泄露而导致身份盗窃风险增加或实际发生带来的损失。
最近要求雇主对网络攻击承担责任的著名诉讼包括:
- Five Guys — 披露求职者的社会保障号码和驾照
- San Francisco 49ers — 盗用员工姓名、生日和社会保障号码
- Macmillan — 勒索软件攻击导致员工数据被发布到暗网上且员工身份被盗
网络攻击的商业影响
像 CommonSpirit 数据泄露事件一样,网络攻击会在许多不同方面对企业产生影响。
- 法律责任 — 公司可能需要对员工数据泄露承担损失。 这些损失可能包括信用卡或借记卡更换成本、监控报告成本或与身份盗窃风险带来的情绪困扰相关的其他成本。
- 监管处罚 — 公司可能会面临监管处罚,包括因数据泄露或未能向受影响方披露数据泄露情况而被处以罚款。
- 声誉影响 — 声誉成本可能会严重影响客户信心和企业业绩。 受损的公共形象(包括在潜在未来员工心中的形象)可能会危及企业的长期健康发展。
- IT 系统中断、恢复和大修 — 虽然 FBI 建议不要这么做,但组织可能会选择支付赎金,以恢复对其环境的访问。 无论如何,作为任何数据泄露的取证和恢复成本的一部分,企业可能需要更改、更换或更新处理员工和其他敏感数据的 IT 系统。
如何减少雇主对网络攻击的责任
雇主的责任和隐私法规合规流程增加了本已很高的网络攻击风险及其响应成本。
Keeper 2022 年美国网络安全调查显示,美国企业平均每年遭受三次成功的网络攻击。 平均损失超过 75,000 美元,37% 的组织在每次网络攻击中至少遭受 100,000 美元的损失。 对于中小型企业来说,这个损失可能是毁灭性的。
雇主可以通过确保以下方式保护员工数据,从而减少员工数据受到网络攻击的责任:
- 网络安全意识培训 — 如果员工能够识别可疑链接或附件,就能免去雇主的麻烦。 对员工进行网络钓鱼或勒索软件常见迹象方面的教育,可以避免员工和组织成为攻击的受害者。
- 员工隐私政策 — 在某些领域,法律可能要求制定员工数据隐私政策。 员工数据隐私政策解释了如何收集、存储和使用员工数据。
- 设置强密码 — 超过 80% 的数据泄露是由于密码较弱、被盗或重复使用造成的。 通过创建和存储随机强密码,员工能够避免最常见的数据泄露原因。
- 特权管理 — 特权管理解决方案使组织能够控制重要帐户的权限并监控其使用情况,降低敏感信息遭到非授权访问的风险。
- 供应商安全 — 需要注意的是,如果供应商泄露数据,应该承担数据泄露责任的是雇主,而非第三方。 确保供应商安全对营造稳固的 IT 环境至关重要。
- 事件响应计划 — 事件响应计划指定了系统取证、数据恢复和战略通信等关键活动的所有权,能够减少雇主对数据泄露的责任和数据泄露对雇主造成的整体影响。
- 网络保险 — 网络保险可以减少数据泄露产生的影响,帮助企业降低风险并承担响应成本。 对于 IT 成熟度较低且数据泄露风险较高的组织,许多网络保险政策提供了就绪度评估,可改进安全实践和员工培训计划。
雇主责任和权限访问管理
雇主可以通过控制和监控敏感帐户和信息的访问情况来降低责任和风险。
Keeper Privileged Access Manager (KeeperPAM) 旨在保护无边界的多云环境免受网络攻击。 KeeperPAM 在一个简单的平台上提供企业级密码、密钥和特权连接管理,使组织能够经济高效地减少攻击面并保护员工和设备。