加强网络安全以避免时装零售商的命运

10月12日，纽约总检察长办公室宣布对快时尚电子商务品牌Shein和Romwe的母公司Zoetop处以190万美元的罚款，原因是其对2018年数据泄露事件处理不当。数据泄露涉及盗窃3900万个Shein帐户和700万个Romwe帐户。纽约股份公司认定该公司未能妥善保护消费者数据，也未能向消费者充分披露违规程度。

零售业是网络攻击的常见目标。根据Verizon的2022年数据泄露调查报告，凭证是该领域最常见的受损数据类型。2018年Zoetop漏洞之后的攻击者窃取了数百万个凭据。该公司歪曲了受违规影响的消费者数量，只通知了一小部分受影响的客户。

纽约股份公司指出Zoetop在多个领域的失败，包括密码管理、客户信息保护、监控和事件响应。

“Shein和Romwe必须加强他们的网络安全措施，以保护消费者免受欺诈和身份盗用。该协议应向公司发出明确警告，即他们必须加强其数字安全措施并对消费者保持透明，否则将不会被容忍，”司法部长Letitia James在她的办公室声明中说。

有权访问敏感客户数据的实体受美国所有50个州的隐私和违规通知法的约束。3月签署成为法律的2022年关键基础设施网络事件报告法案(CIRCIA)要求“涵盖的实体向CISA报告涵盖的网络事件和勒索软件付款”。此外，任何存储欧盟居民个人信息的公司都必须遵守通用数据保护条例(GDPR)。如何评估罚款，例如Zoetop必须向纽约州支付的罚款？

信托情报公司OneTrust的首席法律和商务官Kim Rivera表示：“每部主要的隐私法在确定罚款的方法上都略有不同，但潜在的共同主题是更‘严重’的侵权行为会影响罚款的执行和规模。”告诉信息周刊。

在宣布Zoetop罚款后不久，纽约金融服务部(DFS)确定健康保险公司EyeMed将不得不向纽约州支付与2020年网络钓鱼攻击相关的450万美元罚款。这次攻击导致数十万消费者的个人健康数据被泄露。DFS发现EyeMed未能实现多因素认证，未能限制用户访问权限。

像这样的罚款让人质疑未来的数据泄露是否会导致类似的执法。

美国法律和监管信息服务公司Wolters Kluwer的隐私和网络安全法律分析师Tony Foley指出，直到几年前，执法活动一直相对有限。但这种情况正在改变。

“我们肯定看到全国总检察长的调查有所增加，更不用说联邦监管机构更加关注了。因此，我认为公司将开始更加关注他们的数据安全和事件响应计划，”他说。

如果执法力度不断加大，这清楚地表明网络安全和漏洞预防是保护不良行为者梦寐以求的消费者数据的公司的一项重要投资。

预防是避免数据泄露罚款的最佳方法。即使公司遭受数据泄露，其采取的预防措施也可能会影响罚款的严重程度。纽约股份公司在其声明中引用了Zoetop的“薄弱的数字安全措施”，纽约DFS还指出EyeMed的安全措施不足。由于各自与国家达成协议，两家公司都必须采取措施改善其网络安全。

“如果他们[公司]首先做出明显合理的努力来保护他们的数据，并在受到攻击时采取法律要求的所有必要通知和报告步骤，他们很可能会逃避任何执法行动，”Foley认为.

正如Zoetop示例所表明的那样，适当的违规通知对于避免经济处罚至关重要。

“正确通知当局和个人数据泄露可以证明组织对数据隐私和透明度的承诺，并有助于保持与消费者的信任，同时还可以避免未来的处罚，”Rivera说。