BLACK HAT USA : När ett företag blir offer för en cyberattack, möts chefer med en tsunami av utmaningar: att innehålla ett intrång, åtgärda, informera kunder och intressenter, identifiera de ansvariga och genomföra en kriminalteknisk analys av händelsen – för att bara nämna några .
Det är emellertid inte bara de verkliga frågorna som företagen ställs inför i dagsläget: de juridiska konsekvenserna av en säkerhetsincident har blivit viktigare än någonsin att tänka på.
Nick Merker, partner på Indianapolis-baserade advokatbyrå Ice Miller LLP, talade till deltagare på Black Hat USA i Las Vegas och sa att han arbetade som professionell informationssäkerhet innan han blev advokat-och denna erfarenhet gjorde att han kunde övergå till det juridiska fält genom en cybersäkerhetslins.
Efter att ha varit inblandad i den juridiska sidan av över 500 säkerhetsincidenter, inklusive allt från stöld av en bärbar dator till större ransomware -incidenter, sa Merker att många av de fallgropar han upplevt kunde ”lätt kunna undvikas med en enkelt samtal. “
När advokater förs in i en cybersäkerhetsincident måste de överväga områden inklusive dataskyddsstandarder (som HIPAA eller GDPR), försäkringsskydd, ansvar, bevarande av bevis och möjligheten för stämningar och grupptalan.
Robusta IT -system räcker inte längre för att skydda mot den ekonomiska och anseendeskadade cyberattacken, och det är upp till juridiska team att hjälpa offren att fatta rätt beslut i efterdyningarna.
Enligt Merker, under en cybersäkerhetsincident “befinner sig IT -proffs och säkerhetspersoner, människor som inte är advokater, [ofta] i en konstig lösning där de behöver tänka som en advokat eller åtminstone ha en där.”
En av de viktigaste frågorna som företagets aktörer måste överväga är advokat-klient privilegium. Syftet med detta är att se till att en klient som vill söka råd från en advokat kan säga vad han vill och behålla sekretess – och advokaten kan inte tvingas vittna mot dem.
Det finns dock missuppfattningar kring detta koncept – inte allt du säger är privilegierat. Det kan vara privilegierad kommunikation men det betyder inte att ämnet är privilegierat, till exempel att avslöja fakta kring ett dataintrång eller cyberattack.
“Detta betyder inte att de bakomliggande faktorerna för en säkerhetsincident är privilegierade”, sa advokaten. “Detta är en viktig sak att tänka på.”
Om du vill behålla privilegiet måste du “papper upp” och se till att det finns definierade linjer mellan utredningar, rapporter och kriminalteknisk aktivitet. Närmare bestämt, om du vill att utredningar ska vara privilegierade, ska de göras separat och bortsett från vanliga affärsundersökningar.
Ett “100 procent, separat team ska finnas” och alla rapporter om en incident ska vara ” bara används för att förbereda tvister snarare än som en affärsresultatrapport “, kommenterade Merker.
Dessutom bör det noteras att företag kan avstå från privilegier, men de kan inte nödvändigtvis välja vilka områden de ska avstå från. Det kan vara en “allt eller inget” tillvägagångssätt i vissa jurisdiktioner, och snarare än att “ha din tårta och äta den också” kan försök att göra det skapa ytterligare juridiska utmaningar.
Ett exempel är ett dokument som skickas in i domstol med redaktioner, medan hela dokumentet, utan redaktioner, lämnades till tillsynsmyndigheterna. Det kan vara så att detta försök att delvis utnyttja privilegiet kan misslyckas.
Dessutom bör privilegierad information förbli inom skyddade väggar. Advokaten säger att om information delas, till exempel via ett e -postmeddelande eller av vattenkylaren, kan detta leda till deponering och kan betraktas som ett avstående från privilegier.
Ett annat juridiskt område avser OFACs senaste varning om potentiella sanktioner när ransomware -betalningar godkänns – särskilt om någon slutar betala som en del av en kriminell kedja som landar i ett område med ekonomiska restriktioner, till exempel Iran eller Kuba. Detta kan skapa individuellt eller företagsansvar och leda till stora straff – eller till och med fängelse.
Om du är i en ransomware -händelse och du måste betala lösen för att kunna komma tillbaka online, säger Merker dig bör ha ett riskbaserat efterlevnadsprogram; en robust struktur och riskbedömningar för huruvida du kommer att betala en hotaktör eller inte, och du bör kontakta brottsbekämpning omedelbart. Detta kan vara en betydande faktor som avgör det slutliga resultatet, konstaterade den juridiska experten.
“[Också] att komma i kontakt med oss snabbt är vad du vill göra,” tillade Merker.
Merker betonade att företag oftare “faktiskt behöver använda en plan för incidenthantering i en incidentsituation” och sa att dokumentation borde vara ett centralt fokus. Tidslinjer, loggar, stora beslut och statussammanfattningar bör sparas eftersom tillsynsmyndigheter – eller målsägande – kommer att ställa frågor, och du måste veta “vad du gjorde och varför du gjorde det.”
“Du måste bygga upp en historia om vad du faktiskt gjorde som företag”, säger Merker. “Detta kommer också att skydda vårdnadskedjan [och] du vill se till att du inte råkar avstå från privilegiet.”
Tidigare och relaterad täckning
Black Hat: När penetrationstest ger dig en brott mot arrestering av brott-anklagelser som faller mot Coalfires säkerhetsteam som bröt sig in i tingshuset under pennprov
Cybersäkerhetsföretag kämpar mot DMCA-regler om god trosforskning
Har du ett tips? Få kontakta säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Rättssäkerhet TV Datahantering CXO Datacenter