법률 사무소 데이터 유출 | 법률 사무소 준비 및 변호

[ad_1]

로펌 데이터 유출은 “만약”이 아니라 “언제” 이벤트이므로 그에 따라 준비하십시오.

안에 2021 사이버 보안 기술 보고서, 미국 변호사 협회(American Bar Association)는 법 집행관이 이제 비즈니스를 데이터 유출을 경험한 그룹과 앞으로 겪게 될 그룹으로 나누는 것을 관찰했습니다. 그것은 도난당한 민감한 고객 정보의 도난, 손실 또는 파괴와 관련하여 로펌이 직면한 위험의 심각성을 강조하는 방법이었습니다.

조사 대상 로펌의 27%가 스마트폰 분실, 네트워크 침입, 웹사이트 익스플로잇, 다운로드 바이러스, 랜섬웨어 공격을 받거나 기타 결과적인 사고 또는 비행.

협회 연도에 따르면 법률 기술 조사, 17%의 개인 업무 및 10명 미만의 변호사 회사가 사이버 사기꾼의 희생양이 되었습니다. 변호사가 10~49명, 변호사가 100명 이상인 회사의 35%도 마찬가지입니다. 한편, 변호사가 50~99명인 회사의 거의 절반(정확히 46%)도 집요한 악당들과의 충돌을 인정했습니다.

이 수치는 변호사가 자신의 관리에 맡겨진 데이터를 보호하는 능력으로 상을 받을 가능성이 없음을 시사합니다. 또한 데이터 유출을 발견하고 대응하는 속도에 환호하지 않을 것입니다. 일반적으로 데이터 유출 대상이 전자 기록 저장소에 구멍이 뚫렸다는 사실을 깨닫는 데는 약 200일이 걸립니다. 거기에서 구멍을 막는 방법을 알아내는 데 평균 69일이 걸립니다.

외부 및 내부 데이터 유출 이해

변호사는 위반이 두 가지 주요 유형으로 발생한다는 것을 먼저 이해함으로써 데이터를 안전하게 유지하는 더 나은 작업을 시작할 수 있습니다.

첫 번째 유형은 로펌의 물리적 벽 외부에서 발생하는 모든 침해로 구성됩니다.
두 번째 변종은 내부에서 발생한 모든 것으로 구성됩니다.

외부 데이터 유출

외부 데이터 침해는 외부 사람이 귀하의 컴퓨터 시스템에 액세스할 때 발생합니다. 이 사람은 혼자 또는 갱단의 일원으로 일할 수 있으며 지구상 어디에나 위치할 수 있습니다.

시스템 소프트웨어 또는 네트워크 아키텍처의 일부 취약성에 대한 인터넷 발원 공격인 해킹을 통해 외부 위반이 발생할 수 있습니다. 이러한 공격은 일반적으로 악용될 수 있는 시스템 약점을 열심히 조사해야 하는 해커 측에서 상당한 시간과 에너지를 투자해야 합니다.

피싱 외부 위반의 또 다른 예입니다. 피싱은 악의적인 행위자가 적법한 출처에서 온 것처럼 보이는 가짜 이메일 메시지를 전송하여 기밀 정보에 대한 액세스 권한을 얻으려는 시도입니다. 이러한 메시지에는 일반적으로 클릭 시 개인 정보 도용을 시도하는 악의적인 웹 사이트로 이동하는 링크가 포함되어 있습니다. 이러한 유형의 공격은 해커의 전술이 점점 더 정교해짐에 따라 더욱 보편화되었습니다.

내부 데이터 유출

내부 데이터 유출은 귀하의 컴퓨터에 액세스할 권한이 있는 누군가가 데이터를 호출한 후 다음을 수행할 때 발생합니다.

불법적인 것 (훔치는 것처럼).
바보 같은 것 (데이터를 승인되지 않은 눈에 노출된 상태로 두는 것과 같습니다).
악의적인 것 (화장실에 해당하는 사이버 데이터를 플러시하는 것과 같습니다).

이 사람은 일반적으로 직원이지만 귀하의 사무실을 서비스로 방문하는 제3자 계약자 또는 공급업체일 수도 있습니다.

방어적 조치

일반적으로 외부 침해는 예방 측면에서 내부 침해보다 덜 위협적입니다.

외부 침해 방어를 위해서는 계층화된 보안 접근 방식이 필요합니다.

여기에는 강화된 방화벽, 데이터 암호화 기술, 바이러스 백신 보호, 맬웨어 방지 소프트웨어, 가상 사설망, 모바일 장치 원격 비활성화/파괴 기능 등이 포함될 수 있습니다.

또한 컴퓨터 운영 체제, 프로그램 및 앱이 최신 버전 및 보안 패치로 완전히 업데이트되었는지 확인해야 합니다.

많은 것 같지만 이러한 방어 조치는 간단하며 IT 관리 서비스 공급자 및 기타 타사 소스에서 턴키 번들로 조달할 수 있습니다.

내부 침해 방어에는 더 적은 요소가 포함되지만 인적 요소 때문에 조금 더 까다롭습니다.

변호사와 직원은 로그인 자격 증명을 추출하거나 치명적인 다운로드 및 기타 트로이 목마 스타일의 사이버 공격 무기를 환영하도록 고안된 피싱 사기, 전자 메일 절충 수법 또는 기타 형태의 속임수에 빠지지 않도록 교육을 받아야 합니다. 사람들은 오늘날의 위협에 대해 지속적으로 교육을 받아야 합니다. 많은 회사는 1년에 1~2회의 사이버 교육 세션으로 충분하다고 생각합니다. 그들은하지 않습니다.

직원은 또한 자신의 지식을 테스트해야 합니다. 예를 들어 피싱 시뮬레이션은 회사의 모든 사람을 테스트하여 링크를 클릭하거나 자격 증명을 입력하는 사람을 확인함으로써 피싱 이메일을 발견하는 방법을 교육하는 것보다 한 단계 더 나아갑니다.

고객 데이터 보호 의무

다모클레스의 검처럼 이 위에 어렴풋이 나타나는 것은 변호사의 윤리적 의무입니다. 클라이언트 데이터 보호.

이는 법률에 명시되어 있는 의무이며(관할권마다 다름) ABA의 전문직 행위에 대한 모범 규칙 1.1(변호사 능력), 1.4(통신) 및 1.6(기밀 유지)뿐만 아니라 5.1-3(거래 감독). 이러한 규칙을 뒷받침하는 세 가지 ABA 공식 의견: 477R(“보호된 고객 정보의 보안 통신”, 2017), 483(“전자 데이터 위반 또는 사이버 공격 후 변호사의 의무”, 2018) 및 498(“가상 업무”, 2021) .