BLACK HAT USA : Når en virksomhed bliver offer for et cyberangreb, står ledere over for en tsunami af udfordringer: at indeholde et brud, afhjælpe, informere kunder og interessenter, identificere de ansvarlige og foretage en retsmedicinsk analyse af hændelsen – for blot at nævne nogle få .
Det er imidlertid ikke kun de virkelige spørgsmål, som virksomheder står over for i dag, at virksomhederne skal tackle: de juridiske konsekvenser af en sikkerhedshændelse er blevet vigtigere end nogensinde at overveje.
Nick Merker, partner ved Indianapolis-baserede advokatfirma Ice Miller LLP, talte til deltagerne i Black Hat USA i Las Vegas og sagde, at inden han blev advokat, arbejdede han som informationssikkerhedsperson-og denne erfaring gjorde det muligt for ham at gå over til det juridiske feltet gennem en cybersikkerhedslinse.
Efter at have været involveret i den juridiske side af over 500 sikkerhedshændelser, herunder alt fra tyveri af en bærbar computer til større ransomware -hændelser, sagde Merker, at mange af de faldgruber, han oplevede, kunne have været “let undgået med en simpel samtale. “
Når advokater bringes ind i en cybersikkerhedshændelse, skal de overveje områder, herunder databeskyttelsesstandarder (f.eks. HIPAA eller GDPR), forsikringsdækning, ansvar, bevarelse af beviser og potentialet for retssager og gruppesøgsmål.
Robuste it -systemer er ikke længere nok til at beskytte mod den økonomiske og omdømmemæssige skade ved cyberangreb, og det er op til juridiske teams at hjælpe ofre med at træffe de rigtige beslutninger i kølvandet.
Ifølge Merker, under en cybersikkerhedshændelse, finder “IT -fagfolk og sikkerhedsfolk, folk, der ikke er advokater, [ofte] sig i en underlig løsning, hvor de skal tænke som en advokat eller i det mindste have en der.”
Et af de vigtigste spørgsmål, som virksomhedens spillere skal overveje, er advokat-klient-privilegium. Formålet med dette er at sikre, at en klient, der ønsker at søge råd hos en advokat, kan sige, hvad han vil, og bevare fortroligheden – og advokaten kan ikke tvinges til at vidne mod dem.
Der er imidlertid misforståelser omkring dette koncept – ikke alt, hvad du siger, er privilegeret. Det kan være en privilegeret kommunikation, men det betyder ikke, at emnet er priviligeret, f.eks. Afsløring af fakta omkring et databrud eller cyberangreb.
“Dette betyder ikke, at de underliggende faktorer for en sikkerhedshændelse er privilegerede,” sagde advokaten. “Dette er en vigtig ting at tænke på.”
Hvis du vil beholde privilegiet, skal du “papirere” og sørge for, at der er definerede linjer mellem undersøgelser, rapporter og retsmedicinsk aktivitet. Specifikt, hvis du vil have undersøgelser til at blive privilegeret, skal de udføres separat og bortset fra almindelige forretningsundersøgelser.
Et “100 procent, separat team skal være på plads” og eventuelle rapporter om en hændelse skal være ” kun brugt til retssager beredskab frem for som en forretningsresultatrapport, “kommenterede Merker.
Derudover skal det bemærkes, at virksomheder kan frasige sig privilegier, men de kan ikke nødvendigvis cherry pick, hvilke områder de skal fravige. Det kan være en “alt eller ingenting” tilgang i nogle jurisdiktioner, og i stedet for at “have din kage og spise den også” kan forsøg på at gøre det skabe yderligere juridiske udfordringer.
Et givet eksempel er et dokument indsendt i retten med redaktioner, hvorimod det fulde dokument uden redaktioner blev leveret til tilsynsmyndighederne. Det kan være, at dette forsøg på delvis at udnytte privilegier kan mislykkes.
Desuden bør privilegerede oplysninger forblive inden for beskyttede vægge. Advokaten siger, at hvis oplysninger deles, f.eks. Via en e -mail eller af vandkøleren, kan dette resultere i aflejring og kunne betragtes som et afkald på privilegier.
Et andet juridisk område vedrører OFACs seneste advarsel om potentielle sanktioner, når ransomware -betalinger godkendes – især hvis nogen ender med at betale som en del af en kriminel kæde, der lander i et område med økonomiske restriktioner, såsom Iran eller Cuba. Dette kan skabe individuelt eller virksomhedsansvar og medføre store straffe – eller endda fængselstid.
Hvis du er i en ransomware -begivenhed, og du skal betale løsesummen for at komme tilbage online, siger Merker dig bør have et risikobaseret compliance-program en robust struktur og risikovurderinger for, om du vil betale en trusselsaktør eller ej, og du bør straks kontakte politiet. Dette kan være en væsentlig faktor, der bestemmer det endelige resultat, bemærkede den juridiske ekspert.
“[Også] at komme i kontakt med os hurtigt er det, du vil gøre,” tilføjede Merker.
Merker understregede, at virksomheder oftere “faktisk har brug for at bruge en hændelsesplan i en hændelsessituation”, og sagde, at dokumentation burde være et centralt fokus. Tidslinjer, logfiler, større beslutninger og statusoversigter bør opbevares, da tilsynsmyndigheder – eller sagsøgere – stiller spørgsmål, og du skal vide “hvad du gjorde, og hvorfor du gjorde det.”
“Du skal opbygge en historie om, hvad du rent faktisk gjorde som virksomhed,” siger Merker. “Dette vil også beskytte forældremyndighedskæden [og] du vil sikre dig, at du ikke ved et uheld giver afkald på privilegiet.”
Tidligere og relateret dækning
Black Hat: Når penetrationstest giver dig en anklage for grovt anholdelse-anklager mod Coalfire-sikkerhedsteam, der brød ind i retshuset under pennetest-Cybersikkerhedsfirmaer kæmper mod DMCA-regler om god trosforskning
Har du et tip? Få kontakt sikkert via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Juridisk sikkerhed TV Datahåndtering CXO datacentre