根據諾頓羅斯富布賴特(Norton Rose Fulbright)對250多名總法律顧問和內部訴訟從業者的最新年度訴訟趨勢調查，網絡安全和數據保護將成為未來幾年新法律糾紛的首要驅動因素之一。三分之二的受訪者表示，他們在2021年更容易受到此類爭議的影響，而2020年不到一半，而更復雜的攻擊，對遠程環境中員工/承包商的監督減少以及對客戶數據量的擔憂都被認為是緩解因素。

顯然，對于CISO及其組織來說，訴訟的風險是非常真實的，但是最令人擔憂的領域是什么，他們能做些什么呢?

數據泄露引發訴訟

在過去的18個月到兩年中，組織在數據泄露后面臨訴訟的可能性顯著增加，特別是當一家公司被認為沒有很好地處理違規行為時，專門從事技術和合規法律事務的律師兼Cordery合伙人Jonathan Armstrong說。“現在發生大數據泄露事件，訴訟是一種可能性。”他補充道。

eSentire戰略和企業發展副總裁Alex Jinivizian告訴CSO，雖然法律訴訟的傾向因地理位置而異，但網絡攻擊的持續規模導致政府，行業和監管機構對什么是安全性差的更明確的斷言，為更多的法律行動打開了大門。“一些最引人注目的數據泄露事件 - Equifax，萬豪，Target，美國人事管理辦公室 - 導致這些公司因安全衛生標準不佳而導致機密員工或客戶數據丟失的重大訴訟，”他說。

阿姆斯特朗警告說，這對企業的影響可能相當大。“目前在不同案件中尋求的損害賠償很高。僅舉一例，TikTok在荷蘭面臨15億歐元的訴訟，其他國家(包括英國和德國)也有類似的高價值索賠。多年來，與數據相關的訴訟也一直是美國企業生活的一個特征。

首席信息安全官受到抨擊

訴訟風險不僅限于公司。簽名訴訟律師事務所合伙人Simon Fawell表示，CISO本身也面臨著因違反職責而采取的訴訟，因為沒有采取足夠的措施來防止違規行為，或者違規行為的后果處理得很糟糕。

Jinivizian對此表示贊同：“對于大中型企業來說，CISO的角色從未如此重要，并且可能更受關注，并對安全事件和數據泄露負責，正如在2020年破壞性供應鏈攻擊之后對SolarWinds的CISO和其他高管正在進行的集體訴訟所表明的那樣。

阿姆斯特朗補充說，對Uber的CSO的指控也證明了這一點，據稱他們試圖掩蓋與2016年攻擊有關的勒索軟件付款，該攻擊損害了數百萬用戶和司機的數據。

Fawell說，如果CISO擔任公司董事，那么他們可能會因數據和隱私泄露而面臨違反職責的股東訴訟，因為數據和隱私泄露對公司價值的損害。“在英國，股東對董事的訴訟一直在增加，在數據泄露導致股東價值下降的地方，對董事的索賠越來越多地被考慮在內。這反映了其他司法管轄區的趨勢，例如美國，首席信息安全官已經因違反義務而受到高調索賠。

商業秘密的丟失和聲譽受損

數據泄露或隱私訴訟的潛在后果包括巨額罰款、民事和刑事處罰、聲譽損害以及股價的不利影響。所有這些都可以單獨或組合影響組織和CISO。在丟失重要信息的地方，損害可能非常高，Signature Litigation LLP的律師Alasdair Marshall補充道。“例如，如果中介或代理人發生違規事件并丟失可能對另一家公司的聲譽造成重大損害的商業秘密或信息，這可能導致重大訴訟。近年來，巴拿馬文件和瑞士信貸事件突顯出越來越多的人尋求獲取敏感信息并將其發布到市場上。

更重要的是，為訴訟辯護可能既昂貴又耗時，馬歇爾說。“雖然英國制度允許勝訴方從失敗者那里收回法律費用，但花在法律費用和輔助費用上的金額很少被全額收回。訴訟還需要大量的CISO和董事會層面的關注，這將更有效地專注于發展和保護未來的業務。

訴訟也可能對網絡保險事務產生直接影響，影響范圍包括續保和新業務等。ForgeRock首席信息安全官Russ Kirby說，反彈最快的公司和首席信息安全官是那些將客戶放在首位的公司和首席信息安全官，他們采取一切必要措施幫助受影響的客戶將影響降至最低，并分享他們計劃采取的步驟，以確保這種情況不再發生。

法規和要求

專家們一致認為，地理因素對于CISO及其組織面臨的訴訟風險尤為重要。例如，Fawell說，在最高法院對Lloyd訴谷歌案的裁決之后，英國大規模集體訴訟的威脅有所減弱，該裁決在現有程序框架下停止了“選擇退出”集體訴訟，并強調了根據英國規則提出大規模數據索賠的困難。“雖然該決定并未完全阻止數據隱私案件中集體訴訟的可能性，并且仍有許多索賠通過英國法院進行，這些索賠的框架不同，但仍有可能取得成功，這對索賠人來說是一個相當重大的挫折，”他補充說。

也就是說，受數據泄露影響的個人獲得賠償的壓力越來越大，在不久的將來，看到對數據隱私案件引入某種形式的選擇退出集體訴訟制度也就不足為奇了，Fawell說。“英國已經為競爭索賠引入了選擇退出制度，數據隱私將是類似方法的下一個合乎邏輯的領域。他繼續說，盡管英國大規模集體訴訟的威脅暫時有所減弱，但個人訴訟的威脅仍然非常明顯，特別是在高價值公司數據可能受到損害的情況下。“GDPR(以及相關的英國立法)提高了對數據隱私問題的認識，并更加關注商業交易中的合同條款。

至于美國，事情可能會變得同樣甚至更加復雜，前首席信息安全官杰克·奧梅拉(Jack O'Meara)說，他是咨詢公司Guidehouse的訴訟支持服務負責人。“例如，在美國國防工業基地承包商工作的首席信息安全官需要遵守國防聯邦采購條例(DFARS)252.204-7012，以保護涵蓋國防信息和網絡事件報告，而在紐約金融機構工作的首席信息安全官需要遵守紐約州金融服務部23 NYCRR 500金融服務公司的網絡安全要求。

與此同時，一名法官最近批準了Kemper Insurance的原告提出的1760萬美元的集體和解，他們涉嫌違反加利福尼亞州的“消費者隱私法”，而美國證券交易委員會(SEC)則為上市公司提出了新的強制性網絡安全披露規則，以及書面網絡政策和程序，加強報告以及私募股權和投資公司的記錄管理。

O'Meara補充說，最終，美國CISO需要了解其公司持有的合同中包含的特定網絡安全要求。“在本文中有太多的法規和要求需要提及，但CISO需要了解適用于其行業和地理區域的法規和要求。

降低訴訟風險

Kirby說，為了減輕和降低訴訟風險，首席信息安全官必須首先檢查他們的安全計劃在嚴厲審查下是否“可防御”，并能夠改變和適應新的威脅。“例如，如果它無法經受住有關您的協議是否遵循當地法律和行業標準的問題，則需要迅速采取行動來解決這些差距。

Fawell引用了五個問題，這些問題有助于從訴訟角度衡量違規響應計劃的有效性：

誰是主要服務提供商?

內部溝通渠道是什么?誰來指導律師和其他關鍵顧問?是CISO還是需要其他批準?

如果系統關閉，處理違規行為的關鍵人員如何安全地進行通信?

哪種類型的違規行為最有可能影響公司，誰是最有可能受到影響的交易對手?

與交易對手簽訂的合同中的數據隱私條款要求什么?這些合同中是否有通知要求?

“計劃的范圍可以從至少確保上述問題和其他問題的答案得到考慮，并且將要處理違規行為的關鍵人員知道答案，到擁有完整的模擬違規行為到壓力測試過程，”Fawell補充道。

O'Meara表示，CISO應該能夠提供有案可稽的政策和程序，包括合規性工件，安全配置設置的屏幕截圖，防火墻日志，訪問審計日志，用戶計算機系統和應用程序訪問請求表單，以及員工安全培訓記錄。

阿姆斯壯建議首席信息安全官與習慣于在事件發生之前處理這些類型的風險和訴訟的律師進行接觸。“當你確實遇到事故時，重要的是不要試圖像一個孤獨的牛仔一樣處理它，”他說。

同樣，O'Meara建議美國公司與內部法律顧問合作，了解訴訟風險以及相關影響和后果。

Fawell說，首席信息安全官熟悉公司網絡保險政策的條款也很重要 - 主要是涵蓋/不涵蓋的內容以及發生違規行為時的通知要求。“保險公司通常應該是最早的停靠港之一。不僅確保保險生效很重要，保險公司通常也是如何處理違規行為某些方面的良好信息和建議來源。

此外，Fawell繼續說，安全領導者必須小心在違規事件發生后立即記錄(和不記錄)哪些信息。“重要的是要對所做出的決定及其原因進行清晰的審計跟蹤。然而，在處理立即具有挑戰性的情況時，以書面形式記錄判斷錯誤的評論(通常來自高級人員)并不罕見，這在以后的法律訴訟中可能沒有幫助。特別重要的是，每個人都要了解哪些通信可能在相關司法管轄區受到法律特權的保護，哪些則不會。

阿姆斯特朗已經看到了這一點。“權限至關重要。通常，訴訟當事人很早就要求查看內部備忘錄，通信和取證報告。如果您沒有正確設置權限，則可能必須披露所有材料。

Fawell建議，在可能的情況下，關鍵人員之間舉行面對面的會議是明智的，以建立明確的溝通渠道，并確保審計線索準確，清楚地詳細說明響應過程。