Sau khi một công ty phát hiện ra một cuộc tấn công mạng vào mạng của mình, việc đùn đẩy bắt đầu. Giám đốc điều hành đổ lỗi cho giám đốc an ninh thông tin (CISO). CISO đổ lỗi cho các giám đốc tài chính vì đã không dành đủ tiền cho các hoạt động phòng thủ không gian mạng. Giám đốc thông tin bắt đầu tìm kiếm một người gánh tội trong chuỗi cung ứng. Có thể họ sa thải một nhân viên cấp thấp đã mắc lỗi hoặc chỉ ra lỗ hổng trong hệ thống bảo mật của nhà cung cấp bên thứ ba. Hoặc, nếu sự cố diễn ra trên đám mây, thì nhà cung cấp đám mây hoặc chủ sở hữu dữ liệu có lỗi không?
Mọi người có thể đổ lỗi cho người xung quanh, nhưng khi sự cố mạng xảy ra, ai đó sẽ phải chịu trách nhiệm pháp lý. Nhưng đó là ai – một người, một bộ phận hay toàn bộ công ty như một thực thể duy nhất?
Quy tắc Phán quyết Kinh doanh và An ninh mạng
Sau vụ tấn công mạng SolarWinds, các cổ đông đã quyết định khởi kiện, cho rằng công ty và các giám đốc điều hành của họ đã thổi phồng các nỗ lực an ninh mạng của công ty mặc dù có bằng chứng cho thấy ban lãnh đạo công ty thiếu một chương trình an ninh mạng hiệu quả. Đơn kiện nêu rõ, các biện pháp cắt giảm chi phí được đặt lên hàng đầu và an ninh mạng xếp sau lợi nhuận. Vụ kiện nhắm vào các giám đốc điều hành và hội đồng quản trị. Nó được đặt tên bởi CISO phía trước và trung tâm.
Quy tắc Phán quyết Kinh doanh thường bảo vệ các giám đốc điều hành cấp cao và hội đồng quản trị. Quy tắc Phán quyết Kinh doanh, theo định nghĩa của LawShelf, là “một tiêu chuẩn đánh giá tư pháp về hạnh kiểm của giám đốc công ty và viên chức.” Tuy nhiên, vì các công ty thuộc quyền phán quyết của tiểu bang thay vì liên bang, các tiêu chuẩn về cách thực thi Quy tắc Phán quyết Kinh doanh không phải lúc nào cũng giống nhau.
LawShelf nói thêm “Quy tắc bảo vệ các nhân viên và giám đốc khỏi trách nhiệm pháp lý khi họ đã đưa ra quyết định một cách thiện chí và sử dụng các thủ tục thích hợp, ngay cả khi những quyết định đó trở nên kém cỏi hoặc thiếu khôn ngoan”,. Hay nói cách khác, những sai lầm của những người lãnh đạo công ty không khiến họ phải chịu trách nhiệm về những thiệt hại gây ra. Điều đó có thể đúng cho dù sai lầm là ngẫu nhiên hay là một biện pháp cắt giảm chi phí có hại.
Câu hỏi về Quy tắc Phán quyết Kinh doanh trong các sự cố mạng được đưa ra vào năm 2017. Các cổ đông đã kiện Home Depot sau vụ vi phạm dữ liệu năm 2014. Vụ kiện đã đặt câu hỏi về năng lực của chương trình an ninh mạng của công ty. Đặc biệt, nó nhận thấy rằng vi phạm xảy ra sau khi ban lãnh đạo của Home Depot chấm dứt một ban có nhiệm vụ giám sát CNTT. Thẩm phán phán quyết rằng các nhân viên thường xuyên cập nhật cho ban giám đốc về các rủi ro CNTT và không gian mạng. Bởi vì hội đồng đã đưa ra những điều mà thẩm phán coi là các quyết định sáng suốt liên quan đến an ninh mạng, thẩm phán đã bác bỏ đơn kiện.
Bảo vệ CISO khỏi trách nhiệm pháp lý
Theo hội thảo trên web từ CISO Series, hợp đồng nhân viên của một tổ chức đã thiết lập CISO trở thành “trọng tội được chỉ định” nếu công ty là nạn nhân của một sự cố mạng. Công ty thiết kế hợp đồng này để bảo vệ phần còn lại của nhóm điều hành khỏi sự thất bại về pháp lý và tài chính.
CISO là cơ quan đầu tiên quy trách nhiệm, chấm dứt và chịu trách nhiệm pháp lý đối với một sự cố mạng trong công ty. Giám đốc điều hành có thể nhận được sự chê trách công khai, nhưng trong nội bộ, CISO là người chịu nhiều thiệt thòi nhất.
Đó là lý do tại sao các luật sư khuyến khích CISO tiếp cận các hợp đồng lao động với sự phân biệt pháp lý trong tâm trí. Một số đề xuất yêu cầu một chức danh khác. Nhiệm vụ công việc hầu hết giống nhau, nhưng có những giả định khác nhau khi một người nào đó là thành viên của C-suite so với phó chủ tịch phụ trách an ninh mạng hoặc một số chức danh tương tự mà không có sự tham gia của giám đốc điều hành cấp cao. Nó có thể cung cấp một lớp bảo vệ công việc sau hậu quả của một sự cố mạng. Những người khác đề nghị một “chiếc dù vàng” được ghi trong hợp đồng để nếu CISO phải chịu trách nhiệm pháp lý và bị sa thải, tương lai tài chính của họ sẽ được bảo vệ.
Trách nhiệm cá nhân
Nhờ Quy tắc Phán quyết Kinh doanh và các kẽ hở khác trong hệ thống tư pháp, các giám đốc điều hành và hội đồng quản trị hầu như không bị tổn hại gì sau hậu quả pháp lý của một sự cố mạng. Tổ chức đã chịu đòn, nhưng về mặt pháp lý, không một cá nhân hoặc một nhóm nhỏ người nào phải chịu trách nhiệm pháp lý. Nhưng bây giờ có những vấn đề pháp lý có thể thay đổi điều đó.
Ví dụ, Uber đã từng là nạn nhân của các sự cố mạng, nhưng hành động pháp lý đã đặt ra câu hỏi liệu hành vi của chính Uber có đứng sau một vụ vi phạm dữ liệu hay không. Giám đốc điều hành sắp mãn nhiệm phải đối mặt với hậu quả vì không tiết lộ chính xác tất cả các chi tiết xung quanh sự cố mạng. Việc không báo cáo sự việc có gây ảnh hưởng pháp lý cho người trốn tránh nhiệm vụ đó không?
Các cuộc tấn công mạng tạo ra cho các công ty sự hỗn loạn về luật pháp. Một sai lầm đơn giản của một nhân viên cấp thấp có thể gây ra ảnh hưởng lớn. Trừ khi có mục đích xấu, luật pháp có thể sẽ không bắt nhân viên đó phải chịu trách nhiệm pháp lý. Nhưng liệu một tòa án có thể buộc người lãnh đạo đưa ra các quyết định về chiến lược an ninh mạng chịu trách nhiệm pháp lý đối với một vi phạm hay không thì vẫn chưa rõ ràng. Lĩnh vực luật pháp và an ninh mạng tiếp tục phát triển
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666
Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
