跳转到主要内容

文章分类

2019 年 7 月 9 日,英国信息专员办公室 (ICO) 公开宣布有意对万豪处以 9900 万英镑(约合 1.23 亿美元)的 GDPR 罚款,原因是万豪发现和通知喜达屋数据泄露事件。 ICO 对其处以创纪录罚款的理由之一是,万豪在收购喜达屋时数据保护尽职调查不充分,这是导致违规行为发现延迟到 2018 年的一个因素,尽管违规行为发生在 2014 年喜达屋,并且收购了喜达屋万豪酒店于 2016 年举办。

无论 ICO 对收购方数据保护尽职调查责任的看法是否合理,记录万豪罚款应该提醒人们在涉及处理大量个人数据的目标的并购交易中进行彻底的数据保护尽职调查的重要性。

ICO的观点


有趣的是,拟议罚款的消息并非来自 ICO。由于美国证券交易委员会 2011 年和 2018 年的网络指南规定网络风险和网络事件可能触发美国证券交易委员会的一般报告义务,万豪在其网站上的一份声明中披露了这一违规行为,同时提交了 8-K。

该违规事件于 2014 年发生在喜达屋,影响了近 4 亿喜达屋宾客的个人信息,其中约 3000 万位于欧洲经济区 (EEA),其中 700 万位于英国。万豪于 2016 年收购喜达屋,并于 2018 年 11 月发现违规行为。在解释罚款时,ICO 声称其“调查发现万豪在收购喜达屋时没有进行充分的尽职调查……”英国信息专员伊丽莎白·德纳姆补充说,她认为 GDPR 对个人数据问责制的要求“包括在进行公司收购时进行适当的尽职调查”,包括评估“已获取哪些个人数据”和“如何保护这些数据”的措施。 ”

发现漏洞的现实


ICO 似乎将发现目标违规行为的责任推给了收购方,尽管收购方在寻求在极其紧迫的时间内检查目标的网络安全时处于不利地位,并且需要依赖目标的陈述,而后者具有熟悉自己的系统和网络安全实践的好处。数据泄露的后见之明通常是 20/20,并导致宣布本可以采取措施来发现泄露或首先避免泄露。现实情况是,在喜达屋收购时,任何合理彻底的网络安全评估完全有可能不会导致发现违规行为。至此,领先的网络安全记者之一布赖恩·克雷布斯(Brian Krebs)观察到,在喜达屋违规事件中,“入侵者加密了来自被黑数据库的信息(在从公司网络中删除被盗信息时,可能会避免任何数据丢失防护工具的检测) )。”

交易文件


然而,在 ICO 的重点中,万豪/喜达屋交易文件并未提供强有力的数据保护尽职调查工作的证据。虽然股票购买协议或合并协议通常包含至少一项涉及隐私和安全的条款,但万豪/喜达屋协议和合并计划却没有。这些文件包括传统的 IP 陈述和保证,但没有关于隐私或网络安全的陈述和保证。

下一步


ICO 执法行动的后续步骤,包括可能对万豪提议的罚款提出上诉,可能会详细审查 ICO 罚款决定中的至少一些考虑因素。在反对罚款时,万豪可以辩称该公司立即采取措施减轻攻击,配合调查并遵守行业网络安全标准(如 PCI DSS)。如果 ICO 声称数据保护尽职调查的程度引发了违反 GDPR 的行为,万豪可能会辩称,尽管有合并协议的条款,尽职调查是合理的,并且一旦发现违规行为,公司就会使用最佳实践来控制损害.看看 ICO 如何对万豪将提出的这些(以及任何其他)论点做出反应将会很有趣。

经验教训——并购中的网络安全尽职调查


越来越多的数据保护律师和网络安全顾问被要求对并购中的隐私和网络安全问题进行详细的尽职调查。对于许多(如果不是大多数)交易,尤其是涉及处理大量个人数据的目标的交易,网络安全已成为并购尽职调查过程的重要组成部分。鉴于 ICO 对数据保护尽职调查的明显关注,收购方(以及与收购方结盟的各方)将希望采取合理措施来帮助确定目标是否已采取适当措施来保护其受托的数据。无论个人信息是否直接来自消费者、是否在 B2B 安排中传输以及在实践中应包括商业秘密或其他机密或专有信息的安全性,这种尽职调查都是关键。

不包含个人信息的商业秘密和机密信息的泄露也引起了极大的关注——在某些情况下,它可能使目标承担比个人信息泄露更大的责任。例如,勒索软件和企业电子邮件泄露正变得越来越普遍,并可能导致资产直接损失(2018 年损失 12 亿美元)、业务中断(铝制造商 Norsko Hydro 损失 5500 万美元)和数据资产损失。

根据具体情况,ICO 对万豪罚款的理由应促使收购方更仔细地评估此次收购带来的网络安全风险。在流程早期进行整体网络风险评估有助于校准目标的网络成熟度。除了由收购方的法律团队对目标公司的网络文档(例如安全政策、事件响应政策、访问控制政策等)进行尽职审查之外,网络调查问卷这样简单的事情也可以提供一些关于目标公司网络方面的观点。目标。或者,收购方的法律团队可以引入一个技术团队进行更彻底(和技术)的分析,其范围可以从网络内部对网络防御的静态分析到从外部侵入网络的积极尝试,已知作为渗透测试。收购方还可以利用网络安全评估工具,这些工具可以提供表面上客观的分数和目标评级。对于软件,安全审计和漏洞测试的结合可以帮助揭示可能导致安全事件的各种编码问题。最后,如果目标公司通过了 PCI 审核、ISO 27001 评估、SSAE 16 审核或任何其他安全合规相关流程,收购方可以检查结果以帮助确定目标公司的安全状况。

网络安全尽职调查的结果


如果上述任何技术揭示了收购方认为不可接受的问题,则可以使用收购协议的条款来终止交易并允许双方走开。例如,收购方在发现目标公司存在非常严重的网络安全问题时,如果在起草时考虑到网络安全漏洞,可能能够援引实质性不利变更 (MAC) 条款。通常,如果交易的一方在其业务、运营、财务或其他情况下遇到 MAC,则 MAC 条款可能允许另一方退出交易。

对于目标公司而言,进行自己的风险评估可以提供一些有用的好处(特别是如果在任何特定交易开始之前进行)。例如,如果目标公司进行了风险评估,那么由此产生的差距分析可用于在交易背景中出现任何重大问题之前开始解决这些问题。这种远见最终可能会导致目标公司的估值更高,并降低以后出现可能使潜在交易脱轨的重大问题的风险。此外,如上所述,任何由此产生的认证或合规性评估都可以用来证明目标的安全状况,以抵御监管调查,并可能节省数百万美元的罚款或其他处罚。如果在满足网络安全审计的所有缺陷之前进行交易,目标将需要仔细评估要披露哪些要素以及如何披露它们。制定解决此类缺陷要素的计划通常可以缓解收购方可能提出的担忧。

这些结果应基于几个广泛的分析领域:

  • 确定目标正在获取、存储和处理的数据的类型、数量和敏感性
  • 基于监管(例如 GDPR 或 CCPA)或基于行业标准(例如 PCI DSS)要求的风险评估
  • 识别过去的违规行为、目标对此类违规行为的反应以及由此产生的任何处罚、罚款或法律行动
  • 分析目标进行的准备工作,包括其政策和程序的状态以及基于这些政策和程序的准备水平(例如,公司是否有事件响应计划以及他们是否进行了实践工作,例如桌面演习)
  • 评估目标的弹性(例如,它是否进行渗透(或笔)测试或定期安全扫描)
  • 识别安全或基于行业的认证(例如,ISO 27001 认证、Privacy Shield 注册、独立 HIPAA 认证等等)
  • 最后,如果交易涉及使用已变得普遍的陈述和保证或其他交易保险,各方应仔细考虑该保单是否包括网络安全事件的排除以及网络安全尽职调查(或缺乏)对本协议项下可用范围的影响。政策。

下一步是什么?


包括网络安全在内的数据保护仍然是处于收购模式的公司最关心的问题。 随着收购方变得越来越老练,并且更好地了解他们可能因并购交易而继承的数据保护和网络责任,对目标公司的审查将越多。 使用数据保护和网络安全问卷、量身定制的并购问题和相关的非技术机制可以为收购方了解目标公司的隐私和网络安全方法提供一个良好的起点。 当存在更详细或更重要的问题时,可以使用更详细(和侵入性)的技术机制。 最终,对数据保护和网络安全问题的关注只会增加。

本文:https://cioctocdo.com/uk-ico-cites-inadequate-ma-data-protection-due-di…

文章链接