行业新闻与博客

让高管和员工承担个人责任似乎在 IT 和网络安全社区以及全球政治舞台上越来越受欢迎。让我们探讨几个例子，看看这对网络安全的未来意味着什么。

早在 2009 年，Websense（现为 ForcePoint）的一项调查数据显示，接受调查的 104 名安全专业人士中有 30% 认为公司领导者应该对安全相关缺陷负责。受访者表示，“首席执行官和董事会成员应因泄露消费者机密数据而面临监禁。” 当时，这是关于数据泄露责任和后果的一个相当热门的观点，不是吗？

从那时起，对这一想法的支持似乎持续增长。在过去的几年里，我们现在开始看到针对数据泄露的真正刑事指控和定罪。我们不是在谈论对实施这些攻击的网络犯罪分子的指控。不，我们指的是针对目标组织的高管和其他员工因公然疏忽或鲁莽行为而提起的诉讼甚至刑事指控。

2020 年，Gartner 预测，到 2024 年，四分之三的首席执行官将对网络物理安全系统 (CPS) 的网络攻击和安全事件承担“个人责任”。Gartner 的分析师预测，涉及这些系统的危险甚至致命事件将会增加，因为网络安全预算较少且保护这些系统的优先级较低。

本文探讨了首席执行官、高管和其他员工因网络安全事件和数据泄露而面临指控或被定罪的几个例子。

让我们来讨论一下。

公司高管面临越来越多的责任和后果

公司最高管理层成员在数据泄露或其他严重网络安全事件（无论是自愿还是被迫）后离职的情况并不少见。我们在 2013 年 Target 数据泄露事件和 Sony 2014 年数据泄露事件之后就看到了这种情况的发生。

但在某些情况下，仅仅罚款、解雇高管或让他们下台还不够。公司或政府检察官可能会根据问题的严重性决定采取进一步措施。这件事发生在芬兰一家心理治疗诊所的首席执行官身上。

芬兰心理治疗诊所前首席执行官被判缓刑

现已破产的心理治疗中心 Vastaamo 的前首席执行官维尔·塔皮奥 (Ville Tapio) 在败诉后被赫尔辛基地方法院判处三个月缓刑。该诉讼声称 Tapio 违反了通用数据保护条例 (GDPR) 的数据加密和假名要求。Sophos 报道称，检察官声称，他不仅知道该公司的网络安全防御措施粗劣，而且 Tapio 未能采取行动或报告 2018 年和 2019 年的两次单独的违规行为。

据 Sophos 称，实施此次泄露的网络犯罪分子利用敏感信息试图勒索该诊所，勒索近 50 万美元。当这一举措失败后，他们威胁患者，称他们必须每人支付 200 欧元，以避免个人文件被公开共享。如果他们没有在 24 小时内付款，费用将增加一倍以上，达到 500 欧元。

检方要求判处九个月缓刑，但由于被告没有犯罪记录，最终被降级。缓刑基本上意味着除非他在规定期限内再次犯有类似罪行，否则不会入狱。

塔皮奥个人面临任何刑事指控，这一事实在行业内是一个巨大的变化。但与我们名单上的下一位高管面临的指控相比，他所受到的待遇无异于一记耳光（但我认为我们都可以说，下一位高管更应该受到严厉的惩罚）。    

Uber 前 CSO 被判犯有联邦指控

2022 年 10 月，Uber 前首席安全官 (CSO) 约瑟夫·沙利文 (Joseph Sullivan) 被宣布犯有与 2016 年涉及 5700 万乘客和司机数据的数据泄露相关的联邦指控。美国加州北区检察官办公室表示，他于 2020 年 9 月被起诉。他最终因妨碍司法公正和故意隐瞒数据泄露的罪名而被定罪。

路透社报道称，沙利文甚至向黑客安排了 10 万美元的比特币付款，以换取他们签署有关安全事件的保密协议 (NDA)，并称他们没有窃取数据。这太疯狂了！

检察官办公室 2022 年 10 月的报告还表明，沙利文将面临最高八年的监禁，其中因妨碍司法罪最高可判处五年监禁，因盗窃罪最高可判处三年监禁。然而，检察官最终要求判处 15 个月监禁，BBC 报道称，沙利文最终被判处：

• 经历三年缓刑，
• 支付 50,000 美元罚款，并且
• 执行 200 小时的社区服务。

但这并不是 Uber 困境的结束。美国联邦贸易委员会 (FTC) 还宣布对其子公司之一 Drizly 采取执法行动。

Drizly 及其前首席执行官面临执法行动

2022 年 10 月，联邦贸易委员会 (FTC) 对这家酒类配送服务公司及其首席执行官詹姆斯·科里·雷拉斯 (James Cory Rellas) 提出了拟议的执法行动。该公司未能实施基本的安全措施，例如未能保护关键数据库或监控安全威胁，最终导致数据泄露，250 万消费者的个人数据被暴露。在 2020 年漏洞发生前两年，该公司和首席执行官就收到了有关各种安全漏洞的警报，但未能采取行动。纯粹是疏忽？

拟议的执法行动旨在：

• 限制 Drizly 可以收集的个人数据，并要求他们公开说明为什么需要收集这些数据。
• 迫使公司销毁任何不必要的客户数据（即向客户提供服务或产品不需要的信息）。
• 实施全面的信息安全计划和保障措施，以防止将来发生类似情况。这包括培训、访问控制和其他消费者数据安全措施。

2023 年 1 月，具有这些要求的订单最终确定。就 Rellas 而言，“如果他转到一家从超过 25,000 人那里收集消费者信息的公司，并且他是该公司的多数股权所有者、首席执行官、或负有信息安全责任的高级官员。”

与 Uber 前首席安全官不同，雷拉斯没有面临刑事指控。但这给我们带来了一个重要的问题……

数据泄露后果：公司领导和员工是否应该承担个人责任？

GDPR 等一些法规要求组织在发现任何可能导致“自然人权利和自由面临风险”的个人数据泄露行为后，在 72 小时内向监管机构披露。然而，对于追究人们的个人责任，仍然存在很多复杂的感觉。

一些人认为，无论情况如何，公司都应该能够对其前高管和员工采取财务或法律行动。其他人则认为，任何落入骗局的人，无论该事件是发生在个人还是职业背景下，都应被视为受害者。后者主要担心的是，如果雇主定期对陷入网络钓鱼或其他类型网络诈骗的员工采取行动，那么这些员工将更加犹豫是否报告此类事件，因为他们担心会失业或被打耳光与诉讼。

这是合理的担忧吗？有可能，因为有雇主对前雇员采取法律或财务行动的案例。但这样做具有强大的优先权，最终将决定未来网络安全和数据泄露相关案件的结果。

一些雇主在网络事件和违规后要求员工承担责任

几年前，苏格兰就发生过一起这样的案件。就职于皮布尔斯媒体集团 (Peebles Media Group) 的帕特里夏·赖利 (Patricia Reilly) 在 2015 年遭遇商业电子邮件泄露 (BEC) 诈骗后，被起诉要求赔偿 107,984 英镑，以偿还公司损失。这家总部位于格拉斯哥的媒体公司最终败诉；然而，它为选择起诉前雇员以弥补这些网络钓鱼攻击场景造成的损失的雇主树立了一个令人担忧的先例。（这是好还是坏？我想答案取决于你坐在桌子的哪一边。）

但低层员工并不是唯一面临惩罚的人。2016 年，航空航天制造商 FACC 的一名员工因 CEO 欺诈电子邮件而转账 5280 万欧元，导致该公司的首席执行官被解雇。该公司监事会认定，在一封首席执行官欺诈电子邮件中被冒充的沃尔特·斯蒂芬（Walter Stephan）在某种程度上“严重违反了他的职责，特别是在‘假总统事件’方面”，但最初没有具体说明是如何行为的。该公司的首席财务官也在事件发生后的几个月内被解雇。

但对于两位高管来说，坏消息并没有就此结束。2018 年，该公司更进一步，对前公司领导人提起诉讼，索赔 1100 万美元。然而，当奥地利法院认定“斯蒂芬博士没有履行监督职责”时，该案后来被驳回。

要求领导人承担个人责任的运动日益盛行

公司和政府实体开始对网络安全攻击和数据泄露采取强硬立场，这不足为奇。几乎每天，我们都会读到新的网络安全事件和数据泄露事件。Target、Home Depot、Equifax 、T-Mobile（以及随后的 Google Fi）、LastPass——这些事件在行业内引起了轰动，但官员们历来反应迟缓。

在看到过去十年中发生的一些令人瞠目结舌的违规行为后，一些政治领导人已经受够了。他们现在正在推动对遭遇重大数据泄露的公司高管施加更严厉的法律惩罚。

• 2018年，联邦贸易委员会法案的一项拟议修正案为严厉的经济处罚和法律处罚打开了大门，其中包括对高级管理人员最高 20年的刑事处罚。 
• 2019 年 4 月在美国参议院提出的《企业高管问责法案》提议对“疏忽允许或未能阻止违法行为”而“影响健康、安全、财务或个人数据”的企业高管判处监禁。任何州或国家至少 1% 的人口。初犯将被处以罚款、最高一年监禁，或两者并罚；对于第二次或随后的犯罪，罚款的选择仍然有效，但监禁刑期可能会增加到最高三年。

如果获得批准，《企业高管责任法案》可能会对那些经历过最严重数据泄露事件的组织的领导者产生影响（想想 Equifax）。但拟议的立法并不像乍看起来那么简单。与大多数立法提案一样，也有一些警告。在这种情况下，一个组织仅仅成为数据泄露的牺牲品并不足以构成违法行为；在预防方面必须存在可证明的疏忽。因此，大多数数据泄露可能不属于此类，因此不会导致刑事处罚。

让我们总结一下吧

网络安全是一个不断变化的环境。在过去的几年里，我们看到了新立法的变化。白宫最近出台的美国国家网络安全战略推动将保护网络空间的责任转移给“正确的”实体（无论这些实体是谁）。但可以肯定的是，新的法规和态度的转变也将适用于网络安全事件和数据泄露。

全球范围内关于如何保护数据以及“公共安全”和“国家安全”的全面担忧是否胜过隐私权的争论不断。一些政府正在推动以国家安全的名义创建加密后门。但与任何数字后门一样，加密后门只会增加坏人获取敏感数据的风险。

那么，如果我们在出现问题时让公司高管和员工承担个人责任，那么这一切将会如何发展呢？答案可能取决于这些州、国家和全球舞台做出的决定。

我们将有兴趣了解这些正在进行的网络安全讨论和责任的变化趋势在未来几年将我们带向何方。与此同时，每个人都应该尽自己的一份力量，确保公司资产、员工和客户的适当安全。无论您是实施一流的网络安全解决方案，还是在清洁地板后最后上锁，安全都很重要。这是你的职责。