Redian新闻
>
数据泄露的噩梦,律所该怎么破?

数据泄露的噩梦,律所该怎么破?

其他

作者 | 智合研究院 张照栋

来源 | 智合

奥睿律师事务所(Orrick Herrington & Sutcliffe),一家创办于1863年、去年总创收13.79亿美元(约合人民币100.51亿元)的美国Top35律所,近日栽了个大跟头,他们被自家客户集体告上了法院。


让奥睿陷入如此窘境的,是那个萦绕在全球各大律所上空的噩梦——数据泄露。

据彭博社8月14日报道,奥睿的客户在诉状中称,该所今年3月发生数据泄露事件,造成近15.3万人的个人信息被暴露,包括姓名、地址、出生日期和社会安全号码等[1]。原告们对奥睿发起过失责任、法定过失、违反信托责任、违反保密义务、侵犯隐私等多项指控,并且要求奥睿赔偿他们的多项损失。

原告代表丹尼斯·韦利(Dennis Werley)指控道,奥睿律师事务所没有采取合理措施预防和制止此次数据泄露事件,也没有在事件发生后及时通知利益受损的客户。奥睿方面则一直沉默,拒绝回应。

这场逼得百年律所“装死”应对的“泄密风波”,不过是近年来法律行业愈演愈烈的数据泄露事件的缩影。



律所数据泄露的情况

有多严重?


随着法律行业数字化浪潮汹涌而来,越来越多的律所引入数字化工具,其传输、收集数据与日俱增,面对的数据环境也越来越复杂;再加上新冠疫情暴发,传统工作模式向远程办公转变,由此产生巨大的数据量,律所的数据安全风险因此陡增。

2020年,黑客组织从娱乐领域头部律所美国Grubman Shire Meiselas & Sacks窃取总量达756GB的数据[2];

2021年,《财富》500强律所美国Campbell Conroy & O'Neil遭勒索软件袭击[3];

2022年,俄罗斯顶级律师事务所Rustam Kurmaev and Partners遭匿名黑客攻击,被泄露约1TB数据[4];

今年4月,美国百年律所普士高(Proskauer Rose)被曝数据泄露丑闻,他们把并购业务数据保存在一个不安全的微软Azure云服务器上,致使客户敏感数据持续暴露长达6个月之久[5]。

今年6月,澳大利亚知名律所HWL Ebsworth的大量数据被黑客组织AlphV窃取,致使该律所包括澳大利亚军方、税务局、“四大”银行在内的众多客户的大量敏感信息遭泄露[6]。

根据美国律师协会(American Bar Association,ABA)公布的《2022网络安全》报告,2022年,有27%的受访者表示经历过律所的安全漏洞(包括智能设备丢失或被盗、黑客入侵等)[7]。

此外,ABA《2021网络安全》报告显示,2021年,人数在10人以下的律所中有17%曾遭受数据泄露,人数在10-49人的律所中有35%遭受过数据泄露,人数在50-99人的律所中46%遭受过数据泄露,人数在100名以上的律所中35%遭受过数据泄露[8]。

在2018年Aderant法律业务和技术调查中,有1/3的受访者将网络安全视为他们面临的首要挑战之一;尤其是在美国,网络安全从2017年的第6位直接蹿升至次年的第1位,成为各大律所最密切关注的事项。

相较于国外,国内则鲜有律所数据泄露事件曝出,但这并不意味着国内律所的信息数据就是安全的。

汤森路透称,国内律所数据泄露事件鲜有报道,一方面是国内对律所行业信息安全还没有足够关注;另一方面则是即使数据被窃取,律所也无从得知,甚至由于网络安全意识的淡薄,即便律师在办案过程中发现不妥之处,也根本不会往数据泄露方面去想[9]。



律所数据是咋泄露的?


堡垒往往最先从内部攻破。

根据英国信息专员办公室(ICO)的官方数据 ,英国律所超过三分之二 (68%) 的数据泄露事件是由内部人员造成的,相关泄密行为包括电子邮件发错人、点击恶意链接、个人电子设备遗失或被盗等等[10]。

美国ABA则援引IT管理软件供应商Ipswitch的数据称,近3/4的安全漏洞都是由于内部员工有意或无意的行为造成的,这些行为包括使用简单密码、将计算机设备随意放在不安全的地方、没有更新安全补丁等等。

中国律所内部的信息安全问题同样十分严重。据汤森路透报道,很多国内律所的网安意识十分缺乏:律所OA(办公自动化系统)登录地址直接暴露在公网上;手机APP调用第三方的公共服务致使敏感数据在公网多次流转等等。

除了内部数据管理制度不完善、缺乏网络安全意识外,造成律所数据泄露另一大原因,是来自外部的恶意攻击。



律所一直是网络犯罪分子攻击的热门目标。

这一方面是因为律所掌握着大量客户的高敏感、高价值的信息,相当于网络犯罪分子的“一站式商店”,抢一家律所就等于抢了好多家公司;另一方面则是因为攻击律所更容易得手,企业往往具备比律所更强的网络安全意识和更高的网络安全防护级别。

ABA称,超过 90% 的网络攻击都是从网络钓鱼电子邮件开始,并且超过 97% 的用户无法识别复杂的网络钓鱼电子邮件。此外,网络犯罪分子的手段还包括勒索软件、病毒软件、攻击网站bug等等。



律所数据泄露的后果

有多严重?


数据泄露首先带来的就是巨大的财务损失。

国际商业机器公司(IBM)发布的《2022年数据泄露成本报告》显示,企业遭受数据泄露的平均损失为445万美元[11],这些损失包括停工停产、数据恢复费用、以及其他相关的技术和法律费用。

对于律所而言,比财务损失更为致命的,是信誉受损,失去客户。

无论是道德还是法律层面,律师都有义务采取有效措施来保护客户信息数据;双方签订合同后,律师对客户私密信息负有契约责任和监管义务。

一旦发生数据泄露,律所面临的后果就是奥睿经历的那样,被蒙受损失的客户起诉,官司缠身,连正常运营都受到影响。

更严重的情况是,律所信誉遭受致命打击,大批原有客户、潜在客户对律所失去信任,转投别家。

而失去客户,往往意味着失去生命。

2016年轰动全球的“巴拿马文件”事件,涉事的莫萨克·冯塞卡国际律师事务所1150万份文件被泄露,该律所帮助全球多国政要名流避税、洗钱的机密信息被曝光。事件发生两年后,这家创办近40年、在全球拥有40多个办事处的律所倒闭关门。



律所该采取哪些措施应对?


网络安全并不是一个单纯的IT技术问题,而是整个组织的共同责任。对于如何防范网络攻击、预防数据泄露的发生,我们总结了以下四大措施。

首先是建立完善律所的数据合规制度。

律所要建立并不断完善数据合规制度,包括数据合规政策、数据泄露应对计划、供应商数据处理、员工数据处理等。

具体而言,律所要出台全面详实的政策,涵盖远程访问、互联网使用、社交媒体和电子邮件使用等各个方面,对员工使用律所内网、软件、电脑和移动设备等行为也要作出明文规定,明确员工责任及相关处罚措施。

此外,律所还应设立数据合规官岗位(DOP),或者指定专人负责数据安全,并且对律所网络定期审查漏洞、进行安全评估。

其次是加强员工的网络安全意识培训。

律所可以从以下几个方面入手:

1.  设计全面的网络安全培训计划,涵盖密码管理、防范网络钓鱼攻击意识和数据保护政策等方面的内容;

2.  确保培训材料及时更新,加入最新的网络威胁相关信息;

3.  定期进行网络钓鱼攻击演习,测试员工的网安意识及相关知识;

4.  持续强化培训并找出需要改进的地方。


第三点是要制定事故应对计划。

虽然最理想的情况是律所永远不会遭遇数据泄露或网络攻击事件,但现实是律所必须要为最坏的情况做好预案,以迅速有效地应对网络安全事件,把对律所和客户的影响降到最低。

一个有效的事故应对计划应该包括以下几个步骤:

指定事故应对计划团队;

甄别确定事故类型及影响范围;

采取措施控制损失;

完成初步报告;

酌情升级事件;

通知受影响的个人和组织;

调查并收集证据;

进一步降低风险;

执行恢复措施。


律所的事故应对计划也要定期进行评估和更新,以应对日新月异的网络攻击;此外,应对计划还应该纳入员工培训,以确保他们了解自己的角色和责任。

最后一大措施是最大限度地利用网络安全工具。

数字时代,律所的网络安全、数据保护离不开IT技术的支持。律所应最大限度利用网络安全工具来防范数据泄露,这些工具包括防火墙、防病毒软件、多因素身份验证和加密技术等等。

ABA的调查报告显示,目前律所最常用的安全工具是某垃圾邮件过滤器,占84%;软件防火墙位居第二,占79%;排在后面的依次是强制密码(74%)、反间谍软件(73%)和电子邮件病毒扫描工具(72%)。

除了这些防御类的工具外,律所的数据存储工具也应该升级,采用云端存储。

相较于本地存储或者使用托管软件,把律所数据放在云端存储是更安全的做法。云平台服务商的网络安全防护能力远超律所,而且云平台会自动更新安全补丁,服务商也会及时处理已知漏洞。此外,采用云端存储通常会比托管软件或者本地存储更便宜,也更容易维护。

此外,随着AIGC热潮袭来,利用人工智能和机器学习等先进技术为律所数据安全保驾护航,将成为未来趋势。IBM的报告称,相较于那些没有使用安全AI和自动化的企业,使用了这些技术的企业在数据泄露事件中平均少损失176万美元。[12]


结语


近年来,律所面临的网络安全风险挑战愈发严峻,数据泄露事件频频发生;但好消息是律所正积极采取措施改善其网络安全状况,但这还远远不够,他们仍需继续努力。

这是一场旷日持久的战争,律所需要时刻保持警醒,不断审查评估其网络安全系统,并要随着不断变化的网络威胁形势进行更新迭代。抱着“一劳永逸”的心态是注定要失败的,在这场战争中,所有的律师事务所应该谨记:“宜未雨而绸缪,勿临渴而掘井”。



智合论坛2023 勇敢者归来


研判,洞见

先觉者先行

先行换先机


时间:2023年11月18-20日

地点:中国·上海


更多详细议程安排,请扫码咨询




注释

[1] Bloomberg: Orrick Hit With Class Action Over Breach Affecting 153,000, athttps://news.bloomberglaw.com/litigation/orrick-hit-with-class-action-over-data-breach-affecting-153-000

[2] Forbes:Hackers Claim To Have Trump’s Dirty Laundry And Demand $42 Million To Keep Quiet,athttps://www.forbes.com/sites/daveywinder/2020/05/15/hackers-claim-to-have-trumps-dirty-laundry-and-demand-42-million-to-keep-quiet/?sh=2f777bd837d1

[3]  Lisa Vaas: Law Firm to the Fortune 500 Breached with Ransomware, at https://threatpost.com/law-firm-fortune-500-breach-ransomware/167951/ Jan.12.2023

[4] WAQAS, Anonymous Hacktivists Leak 1TB of Top Russian Law Firm Data, at https://www.hackread.com/anonymous-hacktivists-leak-1tb-russia-law-firm-data/ Jan.12.2023

[5] Bloomberg: Proskauer Cyber Attack Left Sensitive Client Data Unguarded, athttps: https://news.bloomberglaw.com/business-and-practice/proskauer-rose-cyber-attack-left-sensitive-client-data-unguarded

[6] Guardian: HWL Ebsworth hack: Russian gang released ‘sensitive personal and government information’, Australia’s cybersecurity chief says,athttps://www.theguardian.com/technology/2023/jul/05/hwl-ebsworth-hack-russian-gang-released-sensitive-personal-and-government-information-australian-cybersecurity-chief-says

[7] ABA:2022 Cybersecurity, athttps://www.americanbar.org/groups/law_practice/publications/techreport/2022/cybersecurity/

[8] ABA:2021 Cybersecurity, athttps://www.americanbar.org/groups/law_practice/publications/techreport/2021/cybersecurity/

[9] 汤森路透:《律所已经或即将成为网络入侵的目标!》https://mp.weixin.qq.com/s/iy8bLD_CvlLf8GpcSagx7Q

[10] Infosecurity-magazine:68% of Legal Sector Data Breaches Caused by Insider Threats,athttps://www.infosecurity-magazine.com/news/data-breaches-insider-threats-legal/

[11]  IBM,《2023年数据泄露成本报告》

[12] IBM,《2023年数据泄露成本报告》



责编 / 吴梦奇Scott
编辑 / 李媛媛Yoyo
分类 / 原创

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
瞭望丨科研失信怎么破?Weee数据泄露后...暗网中招了!大家快查查邮箱困扰38万人的文字失语症,怎么破?娃被蚊虫叮咬后皮肤红肿发痒怎么破?正确的处理方法在这里直播预告丨糖友血糖管理三大困惑怎么破?专家来支招!BB鸭 | iPhone 15将采用叠层电池;微博会员新增VVIP;谷歌薪酬数据泄露;任天堂严惩不当使用账号行为这个场面怎么破?医院数据泄露被罚6.2万元!衡南县网信办依据《数据安全法》开出罚单!Dr. Kieran Chacko, PhD GSBS’17 to conceive, create, resource, an故梦萦怀话渝州:(3)北碚拾遗学习走神,作业粗心怎么破?暑假用49天激活孩子专注力!赌城米高梅及凯撒遭黑客攻击:酒店赌场瘫痪、数据泄露、交$1500万赎金无题35岁职业危机,怎么破?“秋老虎”发威没有食欲怎么破?600万条银行客户数据泄露,监管整顿金融科技外包震惊!暗网泄露数据我中招了!Weee数据泄露后...大家快查查邮箱安慕希回应主播不当言论:非公司员工;特斯拉100GB数据泄露原因查明;盒马15城上线“移山价”丨大公司动态关于普京消亡的中型律所,寡头化的大型律所,律师行业到底有多卷?浙江东湖,柳树映照加拿大停止加息,但是通胀不止,退休钱越来越少,怎么破?【双养日课】口|“咬人”的孩子,我该怎么破?小学阶段,孩子加减乘除计算马虎粗心容易出错的问题该怎么破?惊!加航遭网络攻击:大批数据泄露!飞多伦多航班遇险紧急降落!加拿大停止加息,但通胀不止,退休钱越来越少,怎么破?【双养日课】执拗|太难带了!什么都非要,不如意就闹,怎么破?谷歌薪资数据泄露,软件工程师基本年薪高达71.8万美元乌俄最新:震惊!恐怖!俄军真实阵亡数据泄露,比乌军统计的还多……每年445万美元数据泄露成本是不可承受之重?IBM安全让你举重若轻张庭夫妇又有新动作;安慕希回应主播直播间骂人;京东前CEO徐雷称不会打工和创业;特斯拉100GB数据泄露原因查明...“老师上课时想上厕所该怎么说??”哈哈又长知识了!​钉钉公布全面智能化最新进展;Q1中国市场新能源轻型汽车销量133万辆;特斯拉大规模数据泄露事件影响逾7.5万人……LifeLabs数据泄露集体诉讼 数百万加拿大人将有资格获赔!GPT-4计算能力差怎么破?把它当小学生,保证结果跟计算器一样准
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。