随着智能、互联设备日益普及并越来越多地承载高价值信息(比如医院所持有的病人医疗记录),网络攻击者的入侵点也在增多。 审视网络攻击的范围以及潜在的法律风险,内部法务工作者必须知道,哪些操作对于公司保持正常运转是至关重要的,这些操作可以中断多长时间而不至于导致长期后遗症
“物联网”现在成了技术专家们的谈资。它指的是一个为了方便起见,以及为了日常营运,而由政府和公司所使用的相互连接的智能化设备所组成的复杂世界。这些相互连接的设备,可以加快客人预订一家豪华酒店的速度,或将医院的心脏监视器链接到一名病人的病史。但是,这些系统也是网络攻击的侵入点。
对于一些行业来说,比如电力工业和国防工业,网络攻击天天发生。网络攻击也与日俱增地以医院、大酒店和大学为目标。其中每一个目标都提供了获取具有高潜在价值的信息的通道,而与财务公司等以前受到攻击的目标相比,它们的安全屏障往往没有那么先进。
比如说,在2012年,在所有数据泄露事故当中,发生在医疗保健行业的占36%,这是行业中所报道的最高数据外泄比率。医院存储着大量个人信息。在过去的两年里,单单互联网连接的医疗设备一项,就有近200起网络攻击直冲而来。这是一个惊人的例子,足显医疗保健行业多么吸引网络攻击。
和医院一样,酒店也已成为诱人的目标。酒店可能无法监测和保护那些分布全球各地并与各种各样电子服务提供商相连接的设施。在一家豪华酒店举行会议的公司董事会,可能依赖并不安全的无线保真(Wi-Fi)获得无线互联网接入。在酒店发生的一次令人尴尬的敏感性客户数据外泄,或一次黑客团伙对一位高级管理人员所发起的网络攻击,对一酒店运营者的声誉而言,会是毁灭性的打击。
教育行业也同样脆弱。2012年,教育行业所报道的数据外泄事故在所有行业当中位居第二,仅次于医疗行业。瞄准大学而获取受到访问限制的数据或技术,这样可以节省多年而昂贵的研发开支。除了对教研人员的系统直接发起黑客攻击之外,安保操作上简单的疏忽也可能导致敏感性数据丢失。
基础知识:内部律师今天可以有何作为
▲ 营造安全文化
你所在公司的每一个人都要明白,安全是公司的基本支柱。应当指示工作人员知道,安全为公司所有其他运营活动提供了便利,并且,如果没有安全,公司就会遭受促使公司走向失败的风险。这不是要制造恐惧文化,相反,而是营造安全文化,一种确保每一名工作人员了解并遵循安全程序,并协助公司防止许多可能造成损害的破坏性网络攻击的文化。
公司内部律师可以率先开发和推广安全文化。律师可以提供帮助,把安全程序的技术要求“翻译”成公司员工可以理解和执行的日常用语。例如,通过社会工程的入侵(即通过瞄准你的电子邮件和密码等个人信息而利用你的弱点)和物理和网络混合攻击(供应商或承包商在场时可能发生)会造成巨大伤害,并且非常难以以技术方案防止这些攻击。律师可以弥合技术解决方案以及打击这些入侵所需行为变化之间所存在的缝隙,从而提高认识,创建安全文化。
▲ 未雨绸缪
一项2013年发布的在安全问题方面的重大调查研究表明,数据泄露成本最小化的三个最重要方法是:(1)创建和维持一项数据泄露应急预案;(2)保持较强的安全态势;(3)聘请首席信息安全官(CISO)。(注释1) 这三者都是公司所需要的:确保数据处于公司控制之下,锲而不舍地核验安全保护做法,并投资聘请合格专家管理安全事务。
公司内部法律顾问应在制定安全计划和打造安全态势方面扮演关键角色。他们可以弥合由IT人员或技术人员所确定的安全要求与操作人员、管理层以及公司其他组织实施这些安全要求之间的差距,可以帮助IT人员和技术人员了解公司所适用的法律和监管要求,还可以担当一个沟通入口,就公司内部各部门上上下下所关心的与网络有关的问题进行交流。
企业一旦开始开发安全政策,律师就应当发挥作用,而不要等到开发完毕之后只是审阅这些政策。如果等到那时才参与进去,你就因为没有投入这份工作而面临风险。更重要的是,你会错过了解这些政策背后的道理的机会,以及错过了解这些政策所采用的安全程序的机会。
▲ 参与安全政策规划委员会
应当定期与公司首席信息安全官交流;确定参与安全规划的其他关键性管理人员;打听打听看是否有其他任何人应当参与进来;把这些人聚集起来成立安全政策规划委员会,并自始至终参与这一委员会。
有太多的律师避免接触IT团队,因为他们觉得后者的题材太具技术性。当然,涉及数据安全和关键基础设施的机制会是技术性的。然而,对于包括律师在内不懂技术的人而言,大部分资料非常易于学习。你可以自学很多的技术概念,但你的角色应当集中于有关于公司安全“大画面”的政策问题,包括所涉及的成本和效益,以及支配公司安全问题的法律法规。
如果你不能理解这些安全政策,或者不懂这些政策是如何开发出来的,或者不懂如何修订这些政策,那么,你就遇到大麻烦了。如果你是这样一种处境,那么请返回到第一步:与公司首席信息安全官交流。
▲ 你的数据受到哪些控制?
在对公司发起的网络攻击当中,近10%是内部人所为,即公司员工所为。他们决意从事犯罪、破坏和其他恶劣活动。把入侵者拒于公司之外是不够的,你需要应对来自公司内部的威胁。
在这方面,关键是对数据设置控制手段,比如,应当对数据进行分隔,并且应当规定只有通过多重批准程序才能访问高度敏感性数据。你所在公司的数据控制政策所要解决的关键问题包括:
■数据是什么?
■数据在哪里?
■哪些人控制着数据?
■如何访问数据?
■你是否在保护应当保护的数据?
如何对数字化资料进行安全保护可能属于安全团队(即IT技术人员)的工作范围,但对内部律师而言,了解和监控数据控制手段同样是重要的。
审核工作可以帮助你确定可用数据,并确定赋予员工的访问权限。应当确保你所在公司人事与安全政策明确规定,在内部审核或调查期间,以及在应对网络攻击时,法务部门和IT部门可以审核员工对数据的访问。你所在公司的政策还应明确规定,哪些人拥有公司所控制的数据。
审核工作还可为你的法务团队就公司所保有的数据类型提供富有价值的洞见:数据存储的地方(包括存储在“云”中,即一种异地服务器,通常由第三方拥有和运营),数据传输的目的地,数据传输的方式,以及哪些数据被认为是最重要的数据。你可能会发现,有些数据或项目是法务部门并不知道的。
把这个新发现作为契机,在做好这些数据的安全保护工作之外,评估你所在公司的知识产权组合,并确认你是在适当地保护就这些信息所享有的法律权利。应当审查公司在数据存储和传输方面的合同,同时也要注意在各个司法管辖区之间在法律上的不同要求。
▲ 安全计划将如何限制作业中断?
内部律师必须知道,哪些操作对于公司保持运转是至关重要的,这些操作可以中断多长时间而不至于导致长期后遗症。比如,如果某个黑客团伙发起分布式拒绝服务(DDOS)攻击,以断裂性请求(disruptive requests)湮灭你所在公司的系统,那么你需要了解这将对操作产生什么影响。网络安全界有很多不同模式的支持备份系统,从完全冗余到仅仅恢复关键系统,不一而足。你应当知道你所在的公司选择哪些类型的系统,原因是什么。这种意识会有助于你的法律部门支持最关键性服务,并了解中断对操作所产生的影响。
应当以安全计划为契机,同时开发你与执法部门的沟通程序。应当确定哪位执法人员最有可能提供帮助。 警方很少有对数据泄露做出回应的先进技能。联邦执法部门的能力也高低不同。应当在面临网络攻击压力之前就开始联系你所在地区的联邦调查局办公室,并定期更新你的联系方式。应当就你的计划实施流程进行讨论,以确定如何通知当地的联邦调查局办公室,执法部门于何时以及如何加入你们的调查工作,如何保存和披露信息,以及其他细节。这会为你在承受网络攻击压力期间节省大量时间,并大量减少混乱。
▲ 捂住钱袋,聪明花钱
为获得先进的安全性,美国国家安全局(NSA)投资数十亿美元,但显然未能对数据进行区隔分类,未能实施双重访问控制。这些都是基本的、廉价的措施,实施这项措施,可能本来会阻断爱德华·斯诺登轻松获取大量数据,这些数据本来是他无法获得和公开传播的。
首先应当实施简单而低成本的解决方案。部署低成本的加密技术可以通过确保任何丢失的数据无法读取而根除数据损失。应当要求你的安全团队进行验证,以确保加密等简单的解决方案被考虑在内。其他的低成本解决方案包括去除数据下载能力、复制数据,以及关闭那些准许对你的系统进行未经授权访问(包括通过可移动介质进行访问,比如大拇指U盘)的未用端口。此外,商业服务可以监控开放源码资料,并开出清单,列出可能存在的威胁单。
这几类服务可以降低总成本,并通过帮助公司员工专注于对付为数更少的威胁而提高安全性。这些服务通常同样用于监测商标滥用。分享这些服务,并与安全团队分摊成本,可能是一个既提高安全性又保护公司品牌的好机会。
▲ 好安全需要好情报
不少业内团体现在提倡威胁情报方面的数据共享,以便在攻击发生之前即能识别潜在攻击。在过去的几年当中,这些团体都是非正式的,它们松散地共享数据,但并没有获得足够的安全保障。这些不安全的信息共享,不应继续成为麻烦问题。目前的许多平台在业界成员或执法部门之间提供安全有效的数据共享。这些团体可以帮助你所在公司专注于对付可能产生的威胁,专注于与执法部门合作。
在很多时候,律师对数据共享方案充满了警惕。这是一种过时的思维方式。如果你所在公司的首席信息安全官提议实施数据共享,你应当欢迎这种想法。你应当花时间了解可用的不同的平台,并提出最好的内部保障措施,以使数据共享成为有效的工具。作为内部律师,你也可以利用所拟用的平台帮助公司识别任何潜在的法律陷阱,并识别这些缺陷会对公司及其业务产生什么结果。
▲ 你该转移风险吗?
你是否为网络攻击购买保险了?很少有首席信息安全官跳出技术保障的范围来看待网络安全的风险管理元素。绝大多数的标准责任保险单并不涵盖数据泄露、网络攻击以及对之所做出的回应。
但目前市场上已有越来越多的保险产品处理网络攻击和攻击回应问题。
应当进行风险评估,用以计算网络攻击预期损失乘以网络攻击预期发生率所得到的数值,从而确定是否应当购买额外责任险。你所在公司的首席信息安全官应当有能力帮助你分析风险责任,但法务部门应当审视当前所购买的责任保险,以确认这些保险是否足够。
你已被黑客入侵。怎么办?
你想给谁打电话?
在网络攻击中,你是首先给技术调查员打电话呢,还是首先给律师事务所打电话?应当是律师事务所。律师事务所可以在律师-委托人特权之下帮助你保护整个调查流程。一些精品律师事务所已经与法医调查权限结合起来,组建了混合咨询模型,这为在未来的诉讼当中限制证据开示范围提供了最好的保护。首席信息安全官几乎从来没有想过首先给律师打电话。但是,如果这样做,并且有对路的律师事务所整装待发,不仅可以迅速推进你的调查工作,同时也可以保护你所在公司免于承担责任风险。应当从一开始就利用律师-委托人特权保护你的敏感性调查。
请注意,与适用于内部法律顾问的特权一样,律师-委托人特权已被一些州进行了狭义解释。这项特权不太可能适用于基于持续业务活动的通信活动。为了避免丧失这项重要的保护特权,内部律师应当避免亲自指挥任何调查,而应当委任外部顾问来承担这一领导角色。
当首席信息安全官由总法律顾问管理,或总法律顾问已经深度介入对安全团队的监管时,就产生了一个显著相关的问题。这种报告机制很可能被解释为身处律师-委托人特权范围之外的持续业务关系。当把首席信息安全官这一角色从法律部门直接管理链条中移除,并且外部律师管理调查活动时,这项特权就得到了最明确的保护。
▲ 证据保全
证据保全带来了两个问题:一个是技术上的问题,另一个是法律上的问题。内部律师对两者均可提供帮助。调查人员所面临的最常见的技术问题,是事件回应者不懂数字证据保全。比如,IT人员可以分隔被黑客感染并被用来穿透公司网络的计算机或服务器,然后复制硬盘驱动器,并从网络中将其删除。这听起来不错,对吧?但是错了!隔离可能会在短期内使麻烦停住,但一旦把机器从网络中删除,调查人员将难以从一开始就追踪导致攻击的黑客行为。观察并记录前导活动的机会已被破坏,而如果有了这个机会,你就有机会了解,黑客是如何获得进入你的系统的入口的,更重要的是,你就有机会了解,你可以如何防止今后发生类似的攻击。
从法律角度看,在被隔离机器上存在的实物证据,现在未必有助于在以后的诉讼程序当中采用。与事件回应者相比,法医学调查员必须在处理数字证据方面遵守更高的标准。驱动器的副本必须通过采用法医算法所进行的验证,以确保其精确性。你所在公司的IT人员可能也同样毁坏了由随后的法医检验员在法庭上验证这些证据的任何机会。内部律师可以而且应当确保安全团队了解,如何以一种为在以后的法律诉讼当中采用电子证据而对之加以维持的方式保全和维持电子证据。
▲ 在披露与精确之间权衡
在美国,几乎所有的州现在都有数据泄露通知法。这些法律一般要求及时发出数据泄露通知。然而,在调查完成之前匆忙披露数据泄漏可能给你所在公司带来更多麻烦。比如,高估泄漏范围,以及在报道中增大数据泄露数量,都会增加成本。鉴于每次泄露记录的平均成本是159美元,这种过度披露会是一个代价昂贵的错误。
在众目睽睽之下过早行事之前,应当确认丢失的数据是在法律上定义为需要公开的个人信息。作为内部律师,在准确适用那些规定通知范围、时间与方式的法律法规的要求方面,你能有帮助。
如果要求发出泄露通知,那么这些通知应是清晰而明确的。律师在此同样可以提供帮助,包括确保通知用语清晰而明确,以使之满足所适用法律法规的要求,并不至于提供可能使公司面临额外责任的无关信息。
最后,公司在通知的同时也可以考虑提供公共援助,比如提供能够连接信用检查服务供应商或身份盗窃监控服务供应商的网络链接。提供公共援助可能有助于留住客户好感,甚至有助于防止受害者在不满情绪刺激下发起其他诉讼。内部律师应当与公司业务需求以及公司在维护客户关系方面的重要性保持高度一致。与此同时,如果披露给客户的数据过多,那么律师可以帮助公司管理其潜在的法律风险。