BLACK HAT USA : Når et selskap blir offer for en cyberangrep, står ledere overfor en tsunami av utfordringer: inneholdelse av brudd, utbedring, informere kunder og interessenter, identifisere de ansvarlige og gjennomføre en rettsmedisinsk analyse av hendelsen – for bare å nevne noen .
Imidlertid er det ikke bare de virkelige problemene som virksomhetene står overfor i nåtiden: De juridiske konsekvensene av en sikkerhetshendelse har blitt viktigere enn noen gang å vurdere.
Nick Merker, partner i Indianapolis-baserte advokatfirma Ice Miller LLP, snakket med deltakerne i Black Hat USA i Las Vegas og sa at før han ble advokat, jobbet han som informasjonssikkerhet-og denne erfaringen tillot ham å gå over til det juridiske feltet gjennom et cybersikkerhetsobjektiv.
Etter å ha vært involvert i den juridiske siden av over 500 sikkerhetshendelser, inkludert alt fra tyveri av en bærbar datamaskin til større ransomware -hendelser, sa Merker at mange av fallgruvene han opplevde kunne ha vært “lett unngått med en enkel samtale. “
Når advokater blir brakt inn i en cybersikkerhetshendelse, må de vurdere områder, inkludert databeskyttelsesstandarder (for eksempel HIPAA eller GDPR), forsikringsdekning, ansvar, bevaring av bevis og potensialet for søksmål og søksmål.
Robuste IT -systemer er ikke lenger nok til å beskytte mot økonomisk og omdømmeskade ved cyberangrep, og det er opp til juridiske team å hjelpe ofre med å ta de riktige avgjørelsene i etterkant.
I følge Merker, under en cybersikkerhetshendelse, finner “IT -fagfolk og sikkerhetsfolk, folk som ikke er advokater, [seg] ofte i en merkelig løsning der de trenger å tenke som en advokat eller i det minste ha en der.”
Et av hovedspørsmålene som virksomhetsaktører må vurdere er advokat-klient-privilegium. Formålet med dette er å sikre at en klient som ønsker å søke råd fra en advokat kan si hva de vil og beholde konfidensialitet – og advokaten kan ikke tvinges til å vitne mot dem.
Imidlertid er det misforståelser rundt dette konseptet – ikke alt du sier er privilegert. Det kan være privilegert kommunikasjon, men det betyr ikke at emnet er privilegert, for eksempel avsløring av fakta rundt et databrudd eller nettangrep.
“Dette betyr ikke at de underliggende faktorene i en sikkerhetshendelse er privilegerte,” sa advokaten. “Dette er en viktig ting å tenke på.”
Hvis du vil beholde privilegiet, må du “skrive opp” og sørge for at det er definerte linjer mellom undersøkelser, rapporter og rettsmedisinsk aktivitet. Spesielt, hvis du vil at undersøkelser skal være priviligerte, bør de gjøres separat og bortsett fra vanlige forretningsundersøkelser.
Et “100 prosent, eget team bør være på plass” og eventuelle rapporter om en hendelse bør være ” bare brukt til forberedelse av rettssaker i stedet for som en resultatrapport for virksomheten, “kommenterte Merker.
I tillegg bør det bemerkes at selskaper kan frafalle privilegier, men de kan ikke nødvendigvis velge hvilke områder de skal frafalle. Det kan være en “alt eller ingenting” tilnærming i noen jurisdiksjoner, og i stedet for å “ha kaken din og spise den også”, kan forsøk på å gjøre det skape ytterligere juridiske utfordringer.
Et eksempel er et dokument som er sendt inn i retten med endringer, mens hele dokumentet, uten endringer, ble levert til regulatorer. Det kan være at dette forsøket på å delvis utnytte privilegiet kan mislykkes.
I tillegg bør privilegert informasjon forbli innenfor beskyttede vegger. Advokaten sier at hvis informasjon deles, for eksempel via en e -post eller av vannkjøleren, kan dette resultere i deponering og kunne betraktes som et avkall på privilegier.
Et annet juridisk område gjelder OFACs siste advarsel om potensielle sanksjoner når ransomware -betalinger godkjennes – spesielt hvis noen ender opp med å betale som en del av en kriminell kjede som lander i et område med økonomiske begrensninger, for eksempel Iran eller Cuba. Dette kan skape individuelt eller selskapsansvar og føre til store straffer – eller til og med fengsel.
Hvis du er i en ransomware -hendelse og du må betale løsepenger for å komme tilbake på nettet, sier Merker deg bør ha et risikobasert samsvarsprogram; en robust struktur og risikovurderinger for om du vil betale en trusselaktør eller ikke, og du bør engasjere rettshåndhevelse umiddelbart. Dette kan være en vesentlig faktor som bestemmer det endelige resultatet, bemerket den juridiske eksperten.
“[Også] å komme i kontakt med oss raskt er det du vil gjøre,” la Merker til.
Merker understreket at selskaper oftere “faktisk trenger å bruke en hendelsesplan i en hendelsessituasjon”, og sa at dokumentasjon burde være et sentralt fokus. Tidslinjer, logger, store avgjørelser og statusoppsummeringer bør oppbevares ettersom regulatorer – eller saksøkerne – vil stille spørsmål, og du må vite “hva du gjorde, og hvorfor du gjorde det.”
“Du må bygge opp en historie om hva du faktisk gjorde som selskap,” sier Merker. “Dette vil også beskytte forvaringskjeden [og] du vil sørge for at du ikke ved et uhell gir avkall på privilegiet.”
Tidligere og relatert dekning
Black Hat: Når penetrasjonstesting gir deg en forbrytelsesarrest-anklager henlagt mot Coalfire-sikkerhetsteamet som brøt seg inn i tinghuset under pennetest
Cybersecurity-selskaper kjemper mot DMCA-regler om god tro forskning
Har du et tips? Få kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Legal Security TV Data Management CXO Data Centers