Флорида продвигает законопроект о безопасной гавани в области кибербезопасности

Комитет по торговле Палаты представителей Флориды обратился к Закон об ответственности за инциденты в сфере кибербезопасности (HB 473)в Подкомитет по ассигнованиям государственного управления и технологий на прошлой неделе.

Представленный в ноябре Майком Джалломбардо, Р-Корал Гейблс, председателем подкомитета штата по энергетике, коммуникациям и кибербезопасности, закон предоставит безопасную гавань правительственным учреждениям и список организаций, которые приобретают, управляют и используют личную информацию для ответственности за киберинциденты. если организация «в значительной степени» соответствует системе киберзащиты и нормам, регулирующим деятельность отдельной организации.

Эти организации, от индивидуальных предпринимателей и товариществ до корпораций, кооперативов, ассоциаций и сторонних агентов, могут осуществлять любое из следующих действий в соответствии с предлагаемым законом:

• Национальный институт стандартов и технологий. Структура улучшения кибербезопасности критической инфраструктуры.

• Специальная публикация NIST 800-171.

• Специальные публикации NIST 800-53 и 800-53A.

• Система оценки безопасности Федеральной программы управления рисками и авторизацией.

• Центр критической интернет-безопасности.

• Семейство стандартов Международной организации по стандартизации/Международной электротехнической комиссии серии 27000 (ISO/IEC 27000).

Благодаря «существенному согласованию» на уровне штата и федерального уровня с такими законами, как Закон о переносимости и подотчетности медицинского страхования 54 от 1996 года, требования безопасности в 45 CFR, часть 160 и часть 164, 55 подразделы A и C или раздел V Закона Грэмма-Лича-Блайли. Закон 1999 г., Паб. Л. 57 № 106-102.

Чтобы получить предусмотренную в предлагаемом законе презумпцию ответственности, они также должны принять любые изменения «двух или более концепций или стандартов, которым соответствует организация» в течение одного года после последней даты публикации.

Растет число исков о кибератаках

Флорида, как и любой другой штат, пережила свою долю кибератак, в том числе очевидную атаку с использованием программы-вымогателя на Tampa General, которая была остановлена ​​до того, как ее файлы были зашифрованы.

Хотя в этой больнице удалось предотвратить тотальный локаут и вымогательство, по меньшей мере 1,2 миллиона пациентов и персонала пострадали от раскрытия личной информации и защищенных медицинских данных в файлах, которые киберпреступники украли после взлома сети, согласно данным ВФЛА история в июле.

Судебные иски часто следуют за крупными случаями кражи данных. На HCA Healthcare подали в суд в том же месяце за утечку данных, которая могла затронуть 11 миллионов человек, получающих медицинскую помощь в 170 больницах компании.

По данным Окружного суда США в Среднем округе штата Теннесси, два пациента HCA, проживающие во Флориде, истцы Гэри Сильверс и Ричард Марус утверждали, что HCA «не использовала разумные процедуры и методы обеспечения безопасности, соответствующие характеру конфиденциальной информации, которую она хранила».

Несколько движения были поданы в сентябре, и дело продолжается.

Ответственность на государственном уровне

По мере того, как Флорида продвигается вперед в создании безопасных гаваней для кибергигиенических и отвечающих требованиям безопасности организаций, она присоединяется к нескольким другим штатам, которые предложили аналогичные законопроекты, а также к Огайо, Юте и Коннектикуту, которые приняли законы о защите ответственности за данные.

По словам Дэвида Оберли, адвоката штата Огайо, в 2018 году штат Огайо кодифицировал первый в стране закон о защите данных, предоставляющий предприятиям «позитивную защиту от некоторых форм исков о нарушении данных, если предприятие приняло разумные меры безопасности на момент взлома». который сейчас возглавляет многопрофильную команду по биометрии компании Baker Donelson и предоставляет юридические консультации по ряду вопросов конфиденциальности и безопасности.

В 2019 году он отметил, что тогдашний новый закон в Огайо был таким же кратким, как и нынешнее предложение Джалломбардо во Флориде, основанное на том, как организация удовлетворяет «существенную» достаточность с помощью структур.

«DPA не дает никаких дальнейших обсуждений или объяснений относительно того, как компания может успешно доказать, что она внедрила достаточные меры кибербезопасности, чтобы иметь право на позитивную защиту», — написал он для Ohio Lawyer в статье статья опубликовано коллегией адвокатов штата Огайо.

«Более того, в законе не содержится какой-либо дополнительной информации о том, как компания может успешно установить, что ее план кибербезопасности «разумно соответствует» рамочной программе.