数据泄露即将到来,并将对大麻行业造成严重破坏

大麻数据泄露
大麻业务可能特别脆弱。

几乎每个人都知道违反Equifax之类的公司的行为。已建立的大型公司发生了大规模违规 仍然 遭到破坏后,遭受了重大的声誉和金钱打击。许多人不穿什么’没意识到是’重大违规破坏一家企业。我们不想变得戏剧化,但是我们也不想’不想轻描淡写违规行为的重要性,因为违规行为即将到来,而没有做好准备的大麻公司可能会尘土飞扬。

数据泄露的范围从恶意黑客攻击到丢失包含未加密内容的笔记本电脑的简单损失“personal information”. In either case, if statutorily defined classes of 个人信息 were accessed or acquired without authorization, the party who held the 个人信息 must provide written notification to the affected individuals within a relatively short period of time, and in many cases to other services like credit monitoring. This may seem like a straightforward process. It is not. Just figuring out what kinds of information may have been accessed and whose information may have been accessed could take tens of thousands—if not hundreds of thousands—of dollars in forensic review.

以以下示例为例:人力资源经理是网络钓鱼攻击的受害者。通常,可能需要对受影响的帐户进行司法审查,以确定经理的哪一部分’s email accounts were accessed—did the attacker review one email, or access the entire mailbox? If the forensic vendor determines that the entire account was or could have been accessed, the entire account may need to be “data mined” at a high per-gigabyte cost to see whether emails contain 个人信息 that could require reporting. This could potentially involve tens of thousands of dollars in expenses for one account. Now imagine this happens to five employees.

将事件拼凑在一起不仅耗时且昂贵,而且只能完成一半的工作。一旦列出了受影响的个人和可报告的信息,就需要向个人提供通知(通常由律师起草)。这就要求聘请公司确保个人生活在他们认为应该居住的地方,并亲自邮寄通知信。然后,通常以每个注册者一定的价格提供信用或身份盗窃监视。

不难看出为什么这个过程很昂贵,而且它需要在这么短的时间内发生的事实会给企业带来巨大的压力。要启动,在许多州,如果某个州的公民中有一定门槛的违规行为得到通知,就需要通知司法部长。这些检察长可以(有时确实)要求提供有关泄露发生的详细摘要,甚至可以对遭受数据泄露的公司提起行政诉讼。

违反行为并非大麻行业特有的-违反水平指数(“ BLI”) 估计 多于 140亿条数据记录 自2013年以来丢失或被盗,平均发生频率惊人 每天690万条记录。但是,由于许多原因,该行业特别容易受到数据泄露及其破坏性影响。这里有一些例子:

  • 由于大麻的联邦违法行为,公司可能不愿意向联邦调查局(FBI)或美国国税局(IRS)等联邦当局举报违规行为,否则可能会收到通知。恶意行为者可能认为这给他们带来了某种好处-如果不通知执法人员,这在一定程度上会带来好处。
  • 考虑到大麻行业的银行业状况,大麻企业可能会使用加密货币,该加密货币可能具有存储在能够被破坏的电子设备中的密钥。与几乎任何其他行业不同,这可能使大麻业务遭受财务损失。
  • 对即将到来的被许可人的声誉损害可能会破坏大麻生意。即使大麻周围的许多污名消失了,许多人还是不希望自己的雇主或公众知道他们购买了大麻。想象一下,如果大麻业务是违规行为的受害者,而他或她的雇主突然可以找到该雇员的购买历史,那么政府雇员会怎么想。那笔生意可能不会持续下去。
  • 该行业被迫以许多其他公司未曾采用的方式与技术进行交互。在加利福尼亚州以及其他大多数具有许可制度的州,大麻公司必须实施追踪系统以监视所有商业大麻活动。法律上禁止加利福尼亚大麻控制局(“ BCC”)的被许可方在跟踪系统的中断(即开展大多数业务)期间运输,转移或交付货物。当他们成为勒索软件攻击的受害者(黑客对所有计算机系统进行加密,并要求以加密货币或类似的东西进行补偿以换取解密密钥,这可能需要数天或数周才能完全恢复)时,会发生什么?在尝试与之谈判时,企业实际上可能会流血–or pay a ransom to–全球某人。
  • 可能需要将某些数据泄露通知州检察长。如果在大麻不合法的州的总检察长收到通知,则该总检察长的数量’的本州公民是数据泄露的受害者,司法部长可能希望通过执法行动将大麻业务作为目标。

这些只是大麻行业面临的独特压力中的一些。

在许多意义上,违反都是不可避免的。公司仍然可以做很多事情来减少它们的影响或试图阻止它们。以下是一些:

  • 制定并遵守隐私政策。我们之前曾写过有关政策的必要性以及不遵守政策的潜在惩罚。我们感觉到,许多大麻企业认为这是不必要的,或者仅仅是死记硬背的复制粘贴工作。这是不准确的。这些策略是详细的,旨在识别组织的信息收集和使用策略。如果组织遵循某项政策,那么它在理论上应该知道它拥有什么信息以及在哪里。这可能是因为是否花费了大量的时间和资源来跟踪潜在访问的信息的差异。
  • 符合相关的信息安全标准。实际上,许多州都要求企业在信息存储方面采用某些标准。可以采取技术措施来减少违规的可能性或影响。
  • 计划违规。对员工进行培训,并制定计划以防万一发生违规时,也可以避免或减轻违规的影响。
  • 考虑保险。保险公司开始提供网络责任保险,以支付某些违约费用。这实际上并不能阻止违规行为,但可能会阻止公司花费大量资金来应对涵盖的违规行为。

这篇文章的重点是强调大麻企业的重大违规行为。现在而不是事后准备,可以避免以后出现很多问题。