Не знаете, с чего начать? Эти 5 практик помогут вам продвинуться вперед.
В 2023 году число инцидентов, связанных с кибербезопасностью юридических фирм, возросло, причем 27% фирм столкнулись с нарушениями безопасности, согласно отчету ABA об обзоре юридических технологий за 2022 год. Примечательно, что в фирмах Am Law 100 произошло несколько громких утечек данных.
Юридические фирмы особенно уязвимы для кибератак, во многом из-за большого количества конфиденциальных данных, которыми они обладают, которые могут включать информацию о государственных структурах и корпорациях. Последствия этих атак — в частности, утечка данных, приводящая к потере конфиденциальной информации клиента, — могут быть дорогостоящими: 36% фирм сообщают о потерянных оплачиваемых часах. Некоторые фирмы платят миллионы долларов за восстановление и репарации и даже закрываются после нанесения значительного репутационного ущерба, потери клиентов, судебных исков и запросов регулирующих органов.
Обязанность юриста защищать данные клиента определена в Типовых правилах профессионального поведения ABA. В комментарии 8 к правилу 1.1 говорится, что юрист должен быть в курсе “преимуществ и рисков, связанных с соответствующими технологиями”, в то время как в правиле 1.6 (c) указывается, что юристы “должны прилагать разумные усилия для предотвращения случайного или несанкционированного раскрытия информации или несанкционированного доступа к ней, относящейся к представлению интересов клиента”. По сути, правило 1.6 означает, что юристы должны защищать информацию клиента от случайного и несанкционированного раскрытия самим адвокатом или другими лицами.
Хотя комментарий 18 к правилу 1.6 дает некоторое представление о “разумных усилиях”, необходимых для сохранения конфиденциальной информации клиента, в нем не излагаются конкретные действия, которые вы можете предпринять в рамках управления своей практикой. К сожалению, многие юридические фирмы не придерживаются лучших практик в области кибербезопасности, что усугубляет проблему. Мы предлагаем лишь некоторые из упреждающих мер, которые вы можете предпринять для предотвращения потенциальных атак на кибербезопасность и обеспечения безопасности данных вашего клиента и фирмы.
1. Обновите и исправьте свой антивирус, антивирусное и антишпионское программное обеспечение
Покупка подписки на антивирусное, антивирусно-шпионское программное обеспечение является очевидным и важным шагом в защите вашей фирмы и клиентов. Убедитесь, что это программное обеспечение установлено на каждом устройстве, которое отправляет или хранит любую конфиденциальную информацию клиента, например, на вашем компьютере и телефоне.
Но установка программного обеспечения — это только начало: хакеры постоянно разрабатывают новые вирусы и вредоносный код. Вот почему жизненно важно постоянно обновлять это программное обеспечение. Не поддавайтесь искушению отклонять всплывающие напоминания об обновлениях, какими бы надоедливыми они ни были. Это включает своевременное исправление безопасности. Исправления безопасности – это, по сути, исправления программного обеспечения, предназначенные для устранения любых недостатков безопасности, выявленных в программе или продукте. Когда поставщики присылают обновления, не откладывайте их установку. Возможно, вы не захотите прерывать выполнение текущей задачи, но потенциальная потеря представляет собой гораздо больший риск.
Кибератака на юридическую фирму Mossack Fonseca и вызванная этим утечка 11,5 миллионов документов, известных как “Панамские документы”, — пожалуй, самый известный пример катастрофических последствий, возникающих в результате сбоя обновления программного обеспечения. Предотвратите эти инциденты, убедившись, что исправления безопасности были применены ко всему программному обеспечению, на которое опирается ваша фирма.
2. Проведите внешнюю оценку рисков или привлеките стороннюю службу мониторинга
Внешние оценки – отличный способ оценить эффективность политик и протоколов безопасности вашей фирмы. Хотя вы можете регулярно проводить внутренние проверки протоколов безопасности вашей фирмы, сторонний аудит обеспечит непредвзятый и свежий взгляд.
Независимый аудитор почти всегда выявит потенциальные уязвимости, которые в противном случае вы могли бы пропустить. Он также поможет внедрить соответствующие меры безопасности и обучит вашу фирму лучшим практикам.
3. Обучите третьи стороны соответствующим мерам безопасности
Вы, как юрист, а также все сотрудники и помощники, должны понимать риски, связанные с использованием технологий, и как их правильно использовать. Но регулярное обучение и пребывание в курсе постоянно меняющихся технологий и рисков – это только начало.
Любые третьи стороны, использующие конфиденциальные данные клиентов или получающие к ним доступ, такие как консультанты или свидетели—эксперты, также должны предпринять шаги для надлежащей защиты конфиденциальной информации. Вам также следует провести комплексную проверку любых поставщиков, таких как поставщики программного обеспечения. Проверьте политику безопасности ваших поставщиков, практику найма и системы проверки конфликтов, чтобы убедиться, что их учетные данные являются законными и актуальными, а также были ли у них какие-либо проблемы в прошлом.
Программы обеспечения безопасности поставщиков должны соответствовать NIST Cybersecurity Framework, которая является широко используемым ресурсом для понимания рисков кибербезопасности и управления ими. Еще одним ресурсом является шаблон для управления рисками цепочки поставок поставщиков, опубликованный Агентством США по кибербезопасности и инфраструктурной безопасности (CISA). Программа безопасности Casetext является примером соответствия поставщика отраслевым стандартам (соответствует стандартам ISO 27001 и SOC 2)
4. Рассмотрите возможность страхования киберзащиты
Страхование киберответственности не является превентивным шагом, но оно может уменьшить последствия атак в случае их возникновения. Стоит ли оно того, зависит от того, что покрывается, а что нет. Например, некоторые атаки с использованием программ-вымогателей не определяются как утечка данных и, следовательно, не покрываются.
Тщательный анализ страхового покрытия имеет решающее значение при рассмотрении вариантов страхования. Страхование потенциально покрывает судебные издержки, затраты на реагирование и даже превентивные меры безопасности. Будьте готовы к оценке ваших текущих методов обеспечения кибербезопасности, которые повлияют на страховое предложение, которое вы получите.
5. Подготовьте письменный план реагирования на инциденты
В отчете ABA по исследованию юридических технологий за 2020 год было показано, что у только 34% респондентов имелся письменный план реагирования на инциденты кибербезопасности. Семьдесят семь процентов крупных юридических фирм, определяемых как фирмы со 100 или более адвокатами, сообщили, что у их фирм есть план реагирования на инциденты, в то время как 38% респондентов из фирм от 10 до 49 лет, 23% респондентов из фирм от 2-9 лет и 14% респондентов-одиночек составили письменные планы.
Письменный план может помочь вам минимизировать ущерб и быстро предпринять соответствующие действия в случае утечки данных или другого инцидента, связанного с кибербезопасностью. В плане должны быть указаны шаги, которые вы можете предпринять для защиты данных ваших клиентов и предотвращения дополнительной потери данных. В нем также должны быть подробно описаны соответствующие обязательства по раскрытию информации о нарушениях, такие как федеральные требования, требования штата и требования клиента.
Ваш план может включать определение внутреннего руководителя или команды, которые будут руководить расследованием нарушения, процедур и методов предотвращения дополнительной потери данных, среди прочих действий. Эта команда также могла бы служить контактным лицом для запросов регулирующих органов.
CISA предлагает отличные ресурсы для подготовки письменного плана, включая свои учебные пособия по инцидентам кибербезопасности и реагированию на уязвимости. Эти два руководства являются надежной отправной точкой для создания вашего собственного плана реагирования на инциденты.
Первоначальные затраты времени на защиту данных вашего клиента и фирмы окупаются в долгосрочной перспективе. Упреждающие шаги, такие как оценка потенциальных угроз, обеспечение актуальности вашего программного обеспечения и обучение вашего персонала и поставщиков, имеют решающее значение для предотвращения инцидентов кибербезопасности— таких как утечка данных. Кроме того, разработка тщательного плана реагирования на инциденты и получение страховки могут уменьшить ущерб в случае атаки.