CAPPELLO NERO USA: Quando un'azienda diventa vittima di un attacco informatico, i dirigenti devono affrontare uno tsunami di sfide: contenere una violazione, rimediare, informare i clienti e le parti interessate, identificare i responsabili e condurre un'analisi forense dell'incidente, solo per citarne alcune .
Tuttavia, non sono solo i problemi del mondo reale affrontati, in questo momento, che le aziende devono affrontare: le conseguenze legali di un incidente di sicurezza sono diventate più importanti che mai da considerare.
Parlando ai partecipanti al Black Hat USA di Las Vegas, Nick Merker, partner dello studio legale Ice Miller LLP di Indianapolis, ha affermato che prima di diventare un avvocato, ha lavorato come professionista della sicurezza delle informazioni e questa esperienza gli ha permesso di passare alla professione legale campo attraverso una lente di sicurezza informatica.
Dopo essere stato coinvolto nell'aspetto legale di oltre 500 incidenti di sicurezza, inclusi di tutto, dal furto di un laptop ai principali incidenti con ransomware, Merker ha affermato che molte delle insidie che ha sperimentato avrebbero potuto essere “facilmente evitate con un semplice conversazione.”
Quando gli avvocati sono coinvolti in un incidente di sicurezza informatica, devono considerare aree tra cui gli standard di protezione dei dati (come HIPAA o GDPR), la copertura assicurativa, la responsabilità, la conservazione delle prove e il potenziale per azioni legali e azioni collettive.
I sistemi IT robusti non sono più sufficienti per proteggere dai danni finanziari e reputazionali degli attacchi informatici e spetta ai team legali assistere le vittime nel prendere le decisioni giuste in seguito.
Secondo Merker, durante un incidente di sicurezza informatica, “professionisti IT e addetti alla sicurezza, persone che non sono avvocati, [spesso] si trovano in una strana soluzione in cui devono pensare come un avvocato o almeno averne uno lì.”
Uno dei problemi principali che gli attori aziendali devono considerare è il privilegio avvocato-cliente. Lo scopo di questo è assicurarsi che un cliente che vuole chiedere consiglio a un avvocato possa dire quello che vuole e mantenere la riservatezza – e l'avvocato non può essere obbligato a testimoniare contro di loro.
Tuttavia, ci sono idee sbagliate che circondano questo concetto: non tutto ciò che dici è privilegiato. Potrebbe essere una comunicazione privilegiata, ma ciò non significa che l'argomento sia privilegiato, come la divulgazione di fatti riguardanti una violazione dei dati o un attacco informatico.
“Ciò non significa che i fattori alla base di un incidente di sicurezza siano privilegiati”, ha affermato l'avvocato. “Questa è una cosa importante a cui pensare.”
Se si desidera mantenere i privilegi, è necessario “tapporre” e assicurarsi che ci siano linee definite tra indagini, rapporti e attività forense. In particolare, se si desidera che le indagini siano privilegiate, dovrebbero essere svolte separatamente e separatamente dalle normali indagini aziendali.
Un “team separato al 100% dovrebbe essere presente” e qualsiasi segnalazione su un incidente dovrebbe essere ” utilizzato solo per la preparazione del contenzioso piuttosto che come rapporto sui risultati aziendali”, ha commentato Merker.
Inoltre, va notato che le aziende possono rinunciare ai privilegi, ma non possono necessariamente scegliere con precisione quali aree rinunciare. Potrebbe essere un approccio “tutto o niente” in alcune giurisdizioni, e piuttosto che “avere la tua torta e mangiarla anche tu”, i tentativi di farlo possono creare ulteriori sfide legali.
Un esempio fornito è un documento presentato in tribunale con omissioni, mentre il documento completo, senza omissioni, è stato fornito alle autorità di regolamentazione. È possibile che questo tentativo di utilizzare in parte i privilegi possa fallire.
Inoltre, le informazioni privilegiate dovrebbero rimanere all'interno di muri protetti. L'avvocato afferma che se le informazioni vengono condivise, ad esempio tramite un'e-mail o dal watercooler, ciò potrebbe comportare una deposizione e potrebbe essere considerata una rinuncia al privilegio.
Un'altra area di preoccupazione legale riguarda il recente avvertimento dell'OFAC sulle potenziali sanzioni quando vengono approvati i pagamenti di ransomware, specialmente se qualcuno finisce per pagare come parte di una catena criminale che atterra in un'area con restrizioni economiche, come l'Iran o Cuba. Ciò può creare responsabilità individuali o aziendali e richiedere pesanti sanzioni o persino il carcere.
Se sei coinvolto in un evento ransomware e devi pagare il riscatto per tornare online, Merker ti dice dovrebbe avere un programma di conformità basato sul rischio; una struttura solida e valutazioni del rischio per stabilire se pagherai o meno un attore di minacce e dovresti coinvolgere immediatamente le forze dell'ordine. Questo potrebbe essere un fattore significativo che determina l'eventuale esito, ha osservato l'esperto legale.
“[Inoltre] entrare in contatto con noi rapidamente è quello che vuoi fare”, ha aggiunto Merker.
Merker ha sottolineato che le aziende più spesso “hanno bisogno di utilizzare effettivamente un piano di risposta agli incidenti in una situazione di incidente” e ha affermato che la documentazione dovrebbe essere un obiettivo chiave. Le scadenze, i registri, le decisioni principali e le sintesi dello stato dovrebbero essere mantenute mentre i regolatori – o i querelanti – faranno domande e devi sapere “cosa hai fatto e perché l'hai fatto”.
“Devi costruire una storia di ciò che hai effettivamente fatto come azienda”, afferma Merker. “Questo proteggerà anche la catena di custodia [e] vuoi assicurarti di non rinunciare accidentalmente al privilegio.”
Copertura precedente e correlata
Black Hat: quando i test di penetrazione ti fanno guadagnare un record di arresto per reato
Accuse cadute contro il team di sicurezza Coalfire che ha fatto irruzione in tribunale durante il test di penna
Le società di sicurezza informatica combattono le regole DMCA sulla ricerca in buona fede
Hai un consiglio? Ricevi in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Sicurezza legale Gestione dei dati TV CXO Data Center 