Court allows suit against bank for lax security
В постановлении, вынесенном в прошлом месяце, судья Ребекка Палмейер из окружного суда Северного округа Иллинойса отклонила просьбу Citizens Financial Bank отклонить иск о халатности, поданный против него маршей и Майклом Шеймз-Йикелом. Точка Короны, Инд. супружеская пара-клиенты банка-утверждали, что неспособность граждан внедрить современные меры аутентификации пользователей привела к краже более 26 000 долларов из их кредитной линии home equity.
Заявление о халатности было одним из нескольких исков, предъявленных супругами гражданам. Хотя Палмейер отклонила несколько других исков, она позволила иску о халатности против граждан остаться в силе. Она отметила, что эта пара показала ,что " разумный искатель фактов может прийти к выводу, что банк нарушил свою обязанность защищать счет истцов от мошеннического доступа."
В постановлении подчеркивается проблема, о которой аналитики безопасности говорят уже давно: необходимость компаний проявлять должную осмотрительность в защите данных клиентов от злонамеренного и случайного компрометирования. Аналитики по безопасности предупреждают, что компании, которые не могут доказать, что они приняли адекватные меры для защиты данных, могут оказаться подверженными юридической ответственности после нарушения данных.
За последние два года против компаний было подано множество исков о такой халатности. Однако большинство из этих случаев были связаны с нарушениями данных платежных карт, в результате которых большое количество счетов было скомпрометировано и жертвы хотели получить компенсацию. Суды, как правило, становились на сторону нарушенных субъектов в таких судебных процессах и во многих случаях в целом отклоняли иски.
Решение по делу Shames-Yeakel было впервые опубликовано в блоге Digital Media Lawyer, который написан Дэвидом Джонсоном, юристом, специализирующимся на праве цифровых медиа с компанией Jeffer, Mangels, Butler and Marmaro LLP в Лос-Анджелесе. Этот случай показывает, как неспособность оперативно реализовать самые современные меры безопасности может открыть компании для претензий о халатности, писал Джонсон.
Постановление показывает, что" неспособность реализовать самые последние и самые большие меры по защите данных может быть сочтена нарушением ожидаемых стандартов ухода", предупредил он.
Спор возник из-за инцидента в феврале 2007 года, когда злоумышленник получил доступ к счету акционерной кредитной линии Shames-Yeakel, используя свое имя пользователя и пароль. Затем злоумышленник снял со счета аванс в размере 26 500 долларов и перевел его в австрийский банк. Мошенническая сделка была обнаружена парой только через 10 дней, когда было уже слишком поздно возвращать деньги.
Граждане считали эту пару ответственной за возврат денег и утверждали, что в соответствии с ее онлайн-условиями она не несет ответственности за любые несанкционированные транзакции, которые были сделаны с использованием законных имен пользователей и паролей. Она заявила, что не несет никакой ответственности, если только она не была заранее уведомлена о возможности несанкционированного использования и ей не была предоставлена разумная возможность действовать в соответствии с этим уведомлением.
Граждане также утверждали, что их услуги онлайн-банкинга предоставляются и защищаются весьма авторитетной компанией. Помимо сторонних служб безопасности, граждане заявили, что у них есть свои собственные меры по защите доступа к учетной записи пользователя.
Но Шамс-Йикели утверждали, что эти меры недостаточны. Они сказали, что на момент нарушения граждане все еще полагались на имена пользователей и пароли для контроля доступа к учетным записям, в то время как другие начали использовать двухфакторную аутентификацию, включая аутентификацию на основе токенов, которая считается более безопасной. Они указали на документ 2005 года Федерального Совета по экспертизе финансовых институтов (FFIEC), который назвал однофакторную аутентификацию неадекватной и рекомендовал банкам использовать двухфакторную аутентификацию.
В своем постановлении Палмейер отметила, что граждане начали применять более жесткие меры аутентификации в 2007 году, но на момент кражи поддерживали только однофакторную аутентификацию. Очевидная задержка с выполнением рекомендаций FFIEC может свидетельствовать о том, что банк нарушил свою обязанность защищать информацию о владельцах счетов, писала она.
Хотя судья разрешил дело к судебному разбирательству, дата суда не была назначена, и должностные лица граждан отказались комментировать предстоящий судебный процесс.
Автор: Keylogger.Org Команда