BLACK HAT VS: Wanneer een bedrijf het slachtoffer wordt van een cyberaanval, worden leidinggevenden geconfronteerd met een tsunami van uitdagingen: een inbreuk inperken, herstel, het informeren van klanten en belanghebbenden, het identificeren van de verantwoordelijken en het uitvoeren van een forensische analyse van het incident – om er maar een paar te noemen .
Het zijn echter niet alleen de echte problemen waarmee bedrijven in het heden worden geconfronteerd: de juridische gevolgen van een beveiligingsincident zijn belangrijker dan ooit om te overwegen.
Nick Merker, partner bij het in Indianapolis gevestigde advocatenkantoor Ice Miller LLP, zei tegen aanwezigen bij Black Hat USA in Las Vegas dat hij, voordat hij advocaat werd, als informatiebeveiligingsprofessional werkte — en deze ervaring stelde hem in staat om over te stappen naar de juridische veld door een cyberbeveiligingslens.
Na betrokken te zijn geweest bij de juridische kant van meer dan 500 beveiligingsincidenten, waaronder alles van de diefstal van een laptop tot grote ransomware-incidenten, zei Merker dat veel van de valkuilen die hij ondervond “gemakkelijk vermeden hadden kunnen worden met een eenvoudig gesprek.”
Wanneer advocaten betrokken worden bij een cyberbeveiligingsincident, moeten ze rekening houden met onder meer gegevensbeschermingsnormen (zoals HIPAA of AVG), verzekeringsdekking, aansprakelijkheid, het bewaren van bewijsmateriaal en de mogelijkheid van rechtszaken en class action-claims.
Robuuste IT-systemen zijn niet langer voldoende om te beschermen tegen de financiële en reputatieschade van cyberaanvallen, en het is aan juridische teams om slachtoffers te helpen bij het nemen van de juiste beslissingen in de nasleep.
Volgens Merker komen IT-professionals en beveiligingsmensen, mensen die geen advocaat zijn, tijdens een cyberbeveiligingsincident [vaak] in een vreemde oplossing terecht waarbij ze moeten denken als een advocaat of er tenminste een moeten hebben.”
Een van de belangrijkste zaken waar zakelijke spelers rekening mee moeten houden, is het privilege van advocaat en cliënt. Het doel hiervan is ervoor te zorgen dat een cliënt die advies wil inwinnen bij een advocaat, kan zeggen wat hij wil en geheimhouding kan bewaren – en de advocaat kan niet worden gedwongen om tegen hen te getuigen.
Er zijn echter misvattingen over dit concept – niet alles wat je zegt is bevoorrecht. Het kan geprivilegieerde communicatie zijn, maar dat betekent niet dat het onderwerp bevoorrecht is, zoals het openbaar maken van feiten rond een datalek of cyberaanval.
“Dit betekent niet dat de onderliggende factoren van een beveiligingsincident bevoorrecht zijn”, aldus de advocaat. “Dit is belangrijk om over na te denken.”
Als u privileges wilt behouden, moet u “papieren” en ervoor zorgen dat er duidelijke lijnen zijn tussen onderzoeken, rapporten en forensische activiteiten. In het bijzonder, als u wilt dat onderzoeken bevoorrecht worden, moeten ze afzonderlijk en los van gewone zakelijke onderzoeken worden uitgevoerd.
Er moet een “100 procent, afzonderlijk team zijn” en alle rapporten over een incident moeten “zijn ” alleen gebruikt voor de voorbereiding van rechtszaken in plaats van als een rapport over de bedrijfsresultaten”, merkte Merker op.
Bovendien moet worden opgemerkt dat bedrijven afstand kunnen doen van privileges, maar ze kunnen niet per se kiezen op welke gebieden ze afstand moeten doen. In sommige rechtsgebieden kan het een “alles of niets”-benadering zijn, en in plaats van “je taart opeten en opeten”, kunnen pogingen om dit te doen voor verdere juridische uitdagingen zorgen.
Een voorbeeld is een document dat bij de rechtbank is ingediend met redacties, terwijl het volledige document, zonder redacties, aan de regelgevende instanties is verstrekt. Het kan zijn dat deze poging om gedeeltelijk gebruik te maken van privileges kan mislukken.
Bovendien moet bevoorrechte informatie binnen beschermde muren blijven. De advocaat zegt dat als informatie wordt gedeeld, zoals via een e-mail of door de waterkoeler, dit kan leiden tot afzetting en kan worden beschouwd als een afstand van privilege.
Een ander juridisch punt van zorg betreft OFAC's recente waarschuwing over mogelijke sancties wanneer ransomware-betalingen worden goedgekeurd – vooral als iemand uiteindelijk betaalt als onderdeel van een criminele keten die in een gebied met economische beperkingen belandt, zoals Iran of Cuba. Dit kan leiden tot individuele of zakelijke aansprakelijkheid en kan leiden tot zware straffen – of zelfs gevangenisstraf.
Als je betrokken bent bij een ransomware-evenement en je moet het losgeld betalen om weer online te kunnen, zegt Merker dat je moet een op risico's gebaseerd nalevingsprogramma hebben; een robuuste structuur en risicobeoordelingen om te bepalen of u een dreigingsactor al dan niet betaalt, en u dient onmiddellijk de politie in te schakelen. Dit zou een belangrijke factor kunnen zijn bij het bepalen van de uiteindelijke uitkomst, merkte de jurist op.
“[Ook] snel contact met ons opnemen is wat u wilt doen”, voegde Merker eraan toe.
Merker benadrukte dat bedrijven vaker “een incidentresponsplan daadwerkelijk moeten gebruiken in een incidentsituatie”, en zei dat documentatie een belangrijk aandachtspunt zou moeten zijn. Tijdlijnen, logboeken, belangrijke beslissingen en statusoverzichten moeten worden bijgehouden omdat regelgevers – of eisers – vragen zullen stellen en u moet weten “wat u hebt gedaan en waarom u het hebt gedaan”.
“Je moet een verhaal opbouwen van wat je als bedrijf hebt gedaan”, zegt Merker. “Dit beschermt ook de chain of custody [en] u wilt ervoor zorgen dat u niet per ongeluk afstand doet van privileges.”
Eerdere en gerelateerde berichtgeving
Black Hat: wanneer penetratietesten u een record misdrijven
Aanklachten tegen Coalfire-beveiligingsteam dat ingebroken heeft in gerechtsgebouw tijdens pentest
Cyberbeveiligingsfirma's strijden tegen DMCA-regels over onderzoek te goeder trouw
Heb je een tip? Ontvang veilig in contact via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Juridische beveiliging TV-gegevensbeheer CXO-datacenters 