俄亥俄州审计长戴夫·约斯特(Dave Yost)对网络犯罪采取了强硬立场,并将向全州政府机构提供网络安全教育作为优先事项. 为此,审计员约斯特提出了一系列 免费培训讲座 旨在帮助俄亥俄州当地政府领导人和企业打击网络攻击.
“这个问题不会消失. 情况越来越糟了,”约斯特说 释放. “我们知道许多当地社区资源短缺, 一些人还没有采取措施保护他们的数字资产. 我们审计署有能力帮助地方领导防止个人信息落入不法分子之手.”
我有机会参加一个会议, 是由妮可·贝克维斯领导的, 他是州审计员的调查员和数字取证分析师,也是备受推崇的网络安全专家, 政策, 网络恐怖主义, 计算机取证, 网络调查与网络入侵响应. 该演示集中讨论了实体在入侵过程中遇到的许多复杂情况,重点是勒索软件攻击. 下面的信息特别有见地.
读也: 如何在勒索软件攻击中生存
法律方面的考虑 & 影响
贝克维斯强调了以下各州和联邦的法令, 由于安全漏洞而导致的安全信息损失由哪一种控制. 所有组织都应该意识到以下几点:
- 联邦计算机欺诈 & 滥用法案(CFAA): 的 CFAA有刑事和民事处罚 因为我们通常所说的黑客行为. 最初于1985年通过,目的是打击黑客行为, CFAA已被修订,以禁止“未经授权或超过授权访问”他人的计算机. 违反CFAA最高可判10年监禁. 此外,允许受害者对犯罪者提起民事诉讼. 但是,赔偿金额仅限于经济损失. 痛苦或痛苦或惩罚性损害赔偿不予赔偿.
- 俄亥俄州法律要求
- 俄亥俄州修订法典1347.12 规定,任何国家机构或政治分支机构的安全系统遭到破坏,都要求公共办公室在其个人信息被黑客入侵时通知受害者. 不像CFAA, 没有私人权利诉讼,法规必须由俄亥俄州总检察长办公室执行. 另外, 如果超过1000名居民的个人信息被盗,公共机关必须通知信用报告机构. 最后, 公共机构和企业必须披露因安全漏洞而丢失的个人信息.
- 俄亥俄州修订法典1349.19 表示任何拥有或许可包括个人信息在内的计算机数据的人必须披露任何违反系统安全的行为, 在发现或通知违规行为后, 任何俄亥俄州居民的个人信息, 如果未经授权的人的访问和获取导致或合理地相信将导致居民的身份盗窃或其他欺诈的重大风险,则合理地相信未经授权的人已访问和获取.
- 俄亥俄州修订法典1349.192 规定每天州政府机构, 政治分支机构, 或某人故意或不顾后果地不遵守, 民事罚款最高可达1美元,如果机构或个人每天不遵守这一规定,就会被罚款1000美元. 罚款增加到5美元,超过60天,每天收费10美元,90天内每天1万美元.
重要提示:如果您觉得您的实体的敏感信息可能被泄露和/或被盗, 你需要尽快联系你的律师,以确定哪些法律将适用于你.
不用说,赌注是相当高的. So, 准备, 俄亥俄州审计员鼓励您采取以下措施为网络攻击做好准备:
- 创建一个响应计划和团队
- 确保您的应对计划至少包括以下团队成员:
- 办公室负责人或组织的负责人
- IT
- 法律
- 金融
- 公共关系
- 建立清晰的行动项目
- 确定关键联系人
- 了解你的报告准则
- 加密敏感数据
- 绘制关键数据的位置
- 限制访问
- 遵循保留策略
- 清理旧员工账户
比特币或破产
因为勒索软件的广泛发生, 一些企业和实体似乎正在采用一种新的准备方法——投资比特币.
说实话,当我第一次知道这种方法时,我觉得它很有趣. 毕竟,我想我永远不会屈服于网络人渣的要求. 然而, 因为勒索软件的威胁迅速增加,许多执法组织, 企业和其他组织机构已经开始考虑将付费作为恢复其组织数据的一种合理方式. 话虽如此, 仅仅因为你购买了比特币,并不意味着你应该开始放松适当的备份保护——相反. 一旦你支付了一次,你很可能会再次成为目标. 迟早,你的比特币供应(以及你用来支付比特币的资金)会用完.
我建议你花点时间, 注意力和资源都集中在备份/恢复过程上,而不是付钱给罪犯. 但如果你一定要购买比特币,考虑一下 Coinbase比特币交易所这是最值得信赖的数字货币. Coinbase在美国境内运营.S. 并受美国法律的约束.S.
即将举行的网络安全培训课程
由于这些网络安全培训课程的成功, 国家审计员将提出第二套教育丛书. 我发现这次活动信息量很大,很有价值,鼓励其他人参加——特别是如果你对自己的业务中的数据泄露和/或勒索软件攻击感到担忧的话. 我们仍在等待该系列第二部的发布日期. 但是,在此期间,您可以监视 培训 & 会议注册网页 定期获取本次教育研讨会的最新信息以及贵公司的其他机会.
By 特拉维斯·斯特朗,CISA (伍斯特哦)