Публичный характер правовой системы делает юридические фирмы особенно уязвимыми к растущему числу рисков кибербезопасности. Юридические фирмы имеют уникальный доступ к строго конфиденциальной информации клиентов и, как следствие, сталкиваются с растущим числом федеральных, региональных и отраслевых требований к защите данных и конфиденциальности.
В этом выпуске серии “Инсайдерская информация” я встретился с Марком Сангстером, стратегом по кибербезопасности и автором книги “Безопасной гавани нет: внутренняя правда о киберпреступности и как защитить свой бизнес”, чтобы изучить, что изменилось в юридической отрасли и как юридические фирмы всех размеров могут усилить свою стратегию кибербезопасности.
Джеймс Миньякка (JM): За последние несколько лет во всех отраслях значительно изменились взгляды на кибербезопасность и управление ею. Вы консультировали бесчисленное множество юридических фирм по всей Северной Америке – думают ли юридические фирмы о кибербезопасности по-другому?
Марк Сангстер (MS): Безусловно, точка зрения, безусловно, изменилась за последние полвека. Пять лет назад юридические фирмы понятия не имели о кибербезопасности, потому что на самом деле не считали себя ‘подверженными риску’. Они не думали, что являются мишенью.
Но в последние годы мы стали свидетелями ряда явных нарушений, когда юридические фирмы были закрыты или в результате они или их клиенты были разоблачены. По этой причине они начинают придерживаться несколько иной позиции и признают ценность кибербезопасности и управления своими киберрисками.
В зависимости от размера фирмы у них может не быть необходимых средств, будь то опыт или финансовые средства. Если у них и есть бюджет, который можно потратить на обеспечение безопасности, многие на самом деле не знают, как направить деньги на адекватную защиту своего бизнеса. В частности, ТОО с ограниченной ответственностью делятся прибылью. Эта модель означает, что деньги, потраченные на что-либо, в конце года выпадают из их карманов, создавая для охранных фирм тяжелую борьбу за получение средств, необходимых для защиты юридической фирмы.
ДМ: На данный момент, как и в большинстве отраслей, существует широкая шкала зрелости безопасности, которая отражает размер бизнеса. Многие небольшие фирмы затрудняются понять, с чего и как начать внедрение мер безопасности. Какими передовыми практиками могут воспользоваться юридические фирмы?
MS: NIST и ISO – это два стандарта, о которых трепещут, но они не особенно приемлемы для небольших фирм. Они никоим образом не являются универсальными. Итак, фирмы, как правило, возвращаются к исходной точке или занимают фаталистическую позицию, думая: “если это произойдет, у меня есть резервные копии и киберстраховка”. Но это только часть уравнения.
Небольшие фирмы должны думать об этом с точки зрения приведения своих расходов в соответствие с рисками своей фирмы. Они могут начать с изучения целей своего бизнеса, понимания того, с какими видами угроз они сталкиваются, какими активами они управляют и какие обязательства возникают в связи с управлением этими активами. В ходе этого мероприятия был разработан набор основных мер, которые им необходимо предпринять для защиты фирмы.
Когда дело доходит до кибербезопасности юридических фирм, невежество – это не счастье, это халатность.
ДМ: Полагаются ли юридические фирмы на киберстрахование?
МС: Абсолютно. Многие фирмы получают полисы, и все просто сидят сложа руки и говорят: “О’кей, у нас все в порядке”. Но предполагать безопасность через страхование – это еще один фаталистический взгляд. Сколько из нас безрассудно водят свои машины, не пристегнувшись ремнями безопасности, и говорят: “Ну, у меня есть автостраховка”. Если я попаду в аварию и получу травму, страховая компания заменит мою машину и покроет мои больничные счета. Никто не смотрит на риск таким образом, но, к сожалению, когда дело доходит до бизнеса, мы, похоже, поступаем именно так.
С точки зрения DDQ (вопросника должной осмотрительности), процесс получения страхового покрытия перестал напоминать дикий запад и стал более продуманным. Страховщики задают фундаментальные вопросы. Если на эти вопросы невозможно дать методичный ответ, они (страховщики) отправляют вас обратно на шесть месяцев, чтобы вы взяли себя в руки, прежде чем сможете снова попробовать DDQ.
Многие фирмы не понимают, что сейчас они оказались в положении, когда их нельзя застраховать. Я слышал истории об этом, когда фирмы, которые не смогли получить киберзащиту, в конечном итоге использовали такие вещи, как страхование от профессиональной халатности, для покрытия убытков, когда клиент пострадал в результате взлома.
JM: Понимают ли фирмы типы угроз, с которыми они сталкиваются, и технологии, необходимые им для защиты от них?
МС: Когда дело доходит до предотвращения, в этом много цинизма. Фирмы смотрят на это так– у них есть антивирус и брандмауэры, но это не останавливает атаки, и это правда.
Но чего они не совсем понимают, так это того, что когда происходят атаки на юридические фирмы, они не появляются из ниоткуда. Потенциально существуют сотни признаков того, что в их среде что-то происходило до воздействия, например, блокировка системы от программ-вымогателей.
Итак, с точки зрения осведомленности, это все еще процесс обучения фирм обращать внимание на точки входа, которые существуют на основе данных, имеющихся у фирмы, и систем, которые она использует. ИТ-службы все активнее ищут признаки вредоносной деятельности, такие как одновременный вход в систему, неудачные попытки многофакторной аутентификации, создание новых пользователей или доступ к активам и данным, которые всегда видны.
В случае многих нарушений все сводится к пониманию того, на что вы смотрите, и способности распознать это как дым. Потому что там, где есть дым, всегда есть огонь.
ДМ: Какие типы данных ищут злоумышленники, когда они касаются юридических фирм?
МС: Юридические фирмы на самом деле подвергаются беспрецедентному риску в экономике, и это потому, что они работают на перепутье. Это место, где собираются инвесторы и компании, ищущие деньги, и где банки, учреждения здравоохранения и медицинские исследователи обмениваются конфиденциальной информацией. Даже практики семейного права или управления недвижимостью имеют доступ к критически важной информации, которая так или иначе может нанести серьезный ущерб клиенту.
Фирмы на самом деле не обязательно осознают это, вот почему мы наблюдаем некоторое снижение спроса со стороны определенных типов клиентов, которые придерживаются отраслевых стандартов и нормативных актов в отношении управления конфиденциальными данными. Юридические фирмы располагают бесконечным количеством ценных данных, таких как финансовая информация и информация, позволяющая установить личность.
Большая проблема, с которой сталкиваются юридические фирмы, заключается в том, что им по своей природе присуща открытость. Если вы думаете о судебном иске, например, если вы подаете на кого-то в суд или кому-то предъявлено уголовное обвинение, вы можете увидеть эту информацию в судебном иске, потому что предполагается, что вас будут судить ваши коллеги, присяжные. Это требование судебной системы, но это означает, что информация доступна. Любой преступник может посмотреть на это и начать социализироваться и создать кампанию социальной инженерии.
Другая часть этого заключается в том, что по своей природе юристы подобны хранителям. Они хранят информацию для справки или будущей работы с клиентами, например, для обновления завещания или юридических документов. В более сложных правовых системах, таких как судебные разбирательства для бизнеса или что бы это ни было, адвокаты делают то же самое, что создает сокровищницу информации высокого риска.
Реальность такова, что когда дело доходит до взлома, все думают, что контролируют ситуацию, до тех пор, пока это не оказывается неправдой. Реальная проблема заключается в том, что основной ландшафт меняется; тектонические сдвиги включают оцифровку. Юридические фирмы внедряют систему управления документами, переходя от физических библиотек и хранилищ к цифровым системам.
Однако в нынешнем виде они подвергают бизнес множеству новых рисков. В конце концов, все юридические фирмы должны видеть в себе мишень. Они должны принять то, где они находятся сегодня с точки зрения имеющихся у них средств защиты данных, понять, чего им нужно достичь с точки зрения гигиены, и оценить, что им нужно сделать, чтобы добиться более надежного уровня безопасности.
Все начинается с знания того, какими активами они располагают.
Добавить комментарий