Hacking Victims Become Federal (Las víctimas de piratería se convierten en objetivos federales)

What do you do if you’re a company that gets hacked, and the Federal Trade Commission treats you like a criminal? That was the quandary facing Wyndham Hotels after the FTC claimed a data security breach gave it the right to supervise the company’s IT department.

Thus began the latest episode of the Obama Administrations’s habit of using vague laws to justify regulatory schemes that Congress never intended. More than 40 companies have already acquiesced to the FTC’s data security overreach—often small companies without the means to fight—but Wyndham to its credit is pushing back.

Federal Trade Commission (FTC) Chair Edith Ramirez speaking at the FTC in Washington. Associated Press

In the early 2000s, the FTC complained to Congress that it didn’t have the power to regulate cyber security. The Obama Administration brushed aside that legal detail, citing the catch-all language of Section 5 of the FTC Act: “Unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful.”

The problem with this reasoning is that the companies targeted by the FTC were the victims of “deceptive” hacking acts. But in FTC land they are guilty of an unfair trade practice for failing to have commercially reasonable data security practices for protecting consumers information.

The FTC has declined to provide specific guidelines on what constitutes “reasonable” data security, and in most cases companies find out that they were beyond the red line only after they’ve been hacked. In most of those cases, companies “caught” getting hacked must submit to penance in the form of consent decrees that allow the FTC 20 years of oversight of their IT departments. Brought to you by the experts behindHealthCare.gov.

In June 2012 the FTC filed an enforcement lawsuit charging that when Wyndham was hacked, leading to more than $10.6 million in payment-card losses, the company violated Section 5. A federal district judge upheld the FTC’s authority, but the Third Circuit Court of Appeals recently granted a rare petition for what lawyers call interlocutory review to take the case.

Even many at the FTC think the agency is stretching the law. In a speech at the U.S. Chamber of Commerce in 2013, Commissioner Maureen Ohlhausen said the agency is improperly using Section 5 to justify all manner of regulatory mischief, including antitrust enforcement. She warned about “the temptation” to use Section 5 “to avoid the requirement of clearly specifying” legal boundaries.

Maybe the FTC should first tighten its own data security. In 2012 a hacker called Anonymous took over the FTC website and posted content mocking the agency’s Anti-Counterfeiting Trade Agreement. Late last year Reuters reported that the FBI has warned that parts of the government including the Army, the Energy Department, and Health and Human Services have been hacked.

Companies have more than ample incentive to deter hacking. Target’s data breach cost hundreds of millions of dollars and damaged its reputation among customers. But using nebulous laws to hold companies to unspecified ex post facto standards of data security is an abuse of federal authority. We hope the Third Circuit tells the FTC to log out.

http://online.wsj.com/articles/wsj-hacking-victims-become-federal-targets-1408318038

 

¿Qué hacer si usted es una empresa que está pirateada, y la Comisión Federal de Comercio que lo trate como a un criminal? Ese fue el dilema frente Wyndham Hotels después de la FTC alegó una violación de seguridad de datos que dio el derecho de supervisar el departamento de TI de la empresa.

Así comenzó el último episodio de la costumbre de las Administraciones Obama de utilizar leyes vagas para justificar sistemas de reglamentación que el Congreso nunca tuvo la intención. Más de 40 empresas ya han dado su conformidad a la seguridad de los datos extralimitación-a menudo pequeñas empresas de la FTC y sin los medios para luchar, pero Wyndham en su haber está empujando hacia atrás.

En la década de 2000, la FTC se quejó ante el Congreso que no tenía el poder de regular la seguridad cibernética. La Administración de Obama dejó de lado ese detalle legal, citando el cajón de sastre redacción del artículo 5 de la Ley de la FTC: “métodos desleales de competencia en comercio o en relación, y los actos desleales o engañosas o prácticas en el comercio o en relación, se declara ilegal. ”

El problema con este razonamiento es que las empresas dirigidas por la FTC fueron víctimas de actos de piratería “engañosas”. Pero en la tierra FTC hayan incurrido en una práctica comercial desleal por no tener las prácticas de seguridad de datos comercialmente razonables para proteger la información de los consumidores.

La FTC se ha negado a proporcionar directrices específicas sobre lo que constituye la seguridad de datos “razonables”, y en la mayoría de los casos las empresas descubrir que estaban más allá de la línea roja sólo después de que han sido hackeados. En la mayoría de esos casos, las empresas “arrebatados” ser atacado debe someterse a la penitencia en forma de decretos de consentimiento que permiten la FTC 20 años de supervisión de sus departamentos de TI. Traído a usted por los expertos detrás HealthCare.gov.

En junio de 2012, la FTC presentó una demanda de cumplimiento de carga que cuando Wyndham fue hackeado, lo que lleva a más de $ 10,6 millones en pérdidas de tarjetas de pago, la empresa violó la Sección 5 Un juez federal de distrito confirmó la autoridad de la FTC, pero el Tercer Tribunal de Circuito de Apelaciones concedido recientemente una rara petición para que los abogados llaman revisión interlocutoria para llevar el caso.

Incluso muchos en la FTC piensan que la agencia está estirando la ley. En un discurso en la Cámara de Comercio de EE.UU. en 2013, el Comisario Maureen Ohlhausen dijo que la agencia está incorrectamente utilizando la Sección 5 para justificar toda clase de travesuras reglamentario, incluida la normativa antimonopolio. Ella advirtió sobre “la tentación” de utilizar la sección 5 “para evitar el requisito de especificar claramente” los límites legales.

Tal vez la FTC debe primero reforzar su propia seguridad de los datos. En 2012 un hacker llamado Anonymous hizo cargo de la página web de la FTC y publicada contenido burlándose Acuerdo Comercial Anti-Falsificación de la agencia. A finales del año pasado Reuters informó que el FBI ha advertido de que las partes del gobierno, incluyendo el Ejército, el Departamento de Energía, y Salud y Servicios Humanos han sido hackeados.

Las empresas tienen más que suficiente incentivo para disuadir la piratería. Violación de los datos de Target costó cientos de millones de dólares y dañó su reputación entre los clientes. Pero el uso de leyes vagas para mantener las empresas a las normas ex post facto no especificadas de la seguridad de datos es un abuso de la autoridad federal. Esperamos que el Tercer Circuito le dice a la FTC para cerrar la sesión.