俄亥俄州审计长戴夫·约斯特(Dave Yost)对网络犯罪采取了强硬立场,并将向全州政府机构提供网络安全教育作为优先事项. To that end, Auditor Yost offered a series of free training seminars 旨在帮助俄亥俄州当地政府领导人和企业打击网络攻击.

俄亥俄州审计长戴夫·约斯特(Dave Yost)对网络犯罪采取了强硬立场,并将向全州政府机构提供网络安全教育作为优先事项. To that end, Auditor Yost offered a series of free training seminars 旨在帮助俄亥俄州当地政府领导人和企业打击网络攻击.

“This problem isn’t going away. It’s getting worse,” Yost said in a release. “我们知道许多当地社区资源短缺, 一些人还没有采取措施保护他们的数字资产. 我们审计署有能力帮助地方领导防止个人信息落入不法分子之手.”

I had a chance to attend a session, which were led by Nicole Beckwith, 他是州审计员的调查员和数字取证分析师,也是备受推崇的网络安全专家, policy, cyberterrorism, computer forensics, 网络调查与网络入侵响应. 该演示集中讨论了实体在入侵过程中遇到的许多复杂情况,重点是勒索软件攻击. The following information was particularly insightful.

Legal Considerations & Ramifications

贝克维斯强调了以下各州和联邦的法令, 由于安全漏洞而导致的安全信息损失由哪一种控制. All organizations should be aware of the following:

  • Federal Computer Fraud & Abuse Act (CFAA): The CFAA carries criminal and civil penalties for what is commonly known as hacking. Originally passed in 1985 to combat hacking, CFAA已被修订,以禁止“未经授权或超过授权访问”他人的计算机. Violating the CFAA carries up to ten years in prison. 此外,允许受害者对犯罪者提起民事诉讼. 但是,赔偿金额仅限于经济损失. Pain or suffering or punitive damages are not awarded.
  • Ohio Legal Requirements
    • Ohio Revised Code 1347.12 规定,任何国家机构或政治分支机构的安全系统遭到破坏,都要求公共办公室在其个人信息被黑客入侵时通知受害者. Unlike the CFAA, 没有私人权利诉讼,法规必须由俄亥俄州总检察长办公室执行. Additionally, 如果超过1000名居民的个人信息被盗,公共机关必须通知信用报告机构. Finally, 公共机构和企业必须披露因安全漏洞而丢失的个人信息.
    • Ohio Revised Code 1349.19 表示任何拥有或许可包括个人信息在内的计算机数据的人必须披露任何违反系统安全的行为, following its discovery or notification of the breach, 任何俄亥俄州居民的个人信息, 如果未经授权的人的访问和获取导致或合理地相信将导致居民的身份盗窃或其他欺诈的重大风险,则合理地相信未经授权的人已访问和获取.
    • Ohio Revised Code 1349.192 mandates that for each day the state agency, agency of a political subdivision, 或某人故意或不顾后果地不遵守, a civil penalty of up to $1,如果机构或个人每天不遵守这一规定,就会被罚款1000美元. The penalty increases to $5,000 per day for each day over sixty days and $10,000 per day for every day over 90 days.

重要提示:如果您觉得您的实体的敏感信息可能被泄露和/或被盗, 你需要尽快联系你的律师,以确定哪些法律将适用于你.

Needless to say, the stakes are pretty high. So, to prepare, 俄亥俄州审计员鼓励您采取以下措施为网络攻击做好准备:

  • Create a response plan and team
  • 确保您的应对计划至少包括以下团队成员:
    • The office holder or the head of the organization
    • IT
    • Legal
    • Finance
    • Public Relations
  • Establish clear action items
  • Identify key contacts
  • Know your reporting guidelines
  • Encrypt sensitive data
  • Map locations of critical data
  • Restrict access
  • Follow a retention policy
  • Purge old employee accounts

Bitcoin Or Bust

Because of the widespread occurrence of Ransomware, 一些企业和实体似乎正在采用一种新的准备方法——投资比特币.

说实话,当我第一次知道这种方法时,我觉得它很有趣. 毕竟,我想我永远不会屈服于网络人渣的要求. However, 因为勒索软件的威胁迅速增加,许多执法组织, 企业和其他组织机构已经开始考虑将付费作为恢复其组织数据的一种合理方式. That being said, 仅仅因为你购买了比特币,并不意味着你应该开始放松适当的备份保护——相反. 一旦你支付了一次,你很可能会再次成为目标. 迟早,你的比特币供应(以及你用来支付比特币的资金)会用完.

I recommend that your time, 注意力和资源都集中在备份/恢复过程上,而不是付钱给罪犯. But if you must purchase Bitcoin, consider the Coinbase bitcoin exchange这是最值得信赖的数字货币. Coinbase is operated within the U.S. and is bound by the laws of the U.S.

Upcoming Cybersecurity Training Sessions

由于这些网络安全培训课程的成功, 国家审计员将提出第二套教育丛书. 我发现这次活动信息量很大,很有价值,鼓励其他人参加——特别是如果你对自己的业务中的数据泄露和/或勒索软件攻击感到担忧的话. 我们仍在等待该系列第二部的发布日期. However, in the meantime, you can monitor the Training & Conference Registration web page 定期获取本次教育研讨会的最新信息以及贵公司的其他机会.

By Travis Strong, CISA (Wooster, OH)

