Table of Contents

Bảo vệ mạng và sự riêng tư của dữ liệu: Quan trọng cho luật sư hiện đại

Trong bối cảnh số ngày nay, an ninh mạng và sự riêng tư dữ liệu đã chuyển từ quan tâm về mặt kỹ thuật có chỗ cho đến nghĩa vụ đạo đức và nghề nghiệp cốt lõi cho mỗi luật sư. Tính năng và độ nhạy cảm của các công ty dữ liệu quản lý - sắp xếp từ thông tin khách hàng bí mật đến tài chính và bí mật thương mại - biến chúng thành mục tiêu chính cho tội phạm mạng. Như các cơ sở điều hành mở rộng và kiện tụng xung quanh dữ liệu tăng lên, lưu giữ các chủ đề này thông qua giáo dục pháp lý (CLE) không còn tùy chọn nào khác nữa; nó là thiết yếu cho sự tuân thủ, quản lý rủi ro, và duy trì sự tin cậy của khách hàng.

Mối đe dọa mạng ngày càng gia tăng cho các công ty luật

Các công ty luật phải đối mặt với một loạt những mối nguy hiểm độc nhất về mạng. họ giữ những thông tin rất nhạy cảm, không công chúng mà thường có giá trị cho việc tống tiền, ăn cắp danh tính, hoặc gián điệp công ty. và những cuộc tấn công từ công trong cơ quan, kĩ thuật xã hội và những mối đe dọa nội bộ là một trong những điểm phổ biến nhất của Hiệp hội Công nghệ Hoa Kỳ. theo Hiệp hội Công nghệ hóa Mỹ, hơn 25% công ty luật đã báo cáo có một lỗ hổng an ninh trong hai năm trước, với những công ty lớn hơn không cân bằng mục tiêu.

Hậu quả của một vụ vi phạm kéo dài ngoài khả năng dữ liệu tức thời. Một vụ việc có thể gây ra những tuyên bố sai trái về mặt pháp lý, vi phạm đạo đức, mất đặc quyền luật sư, bị phạt, và không thể đảo ngược. Ví dụ, khi mạng lưới luật pháp bị xâm phạm, hacker có thể có quyền được phép giao tiếp, có khả năng bảo vệ quyền bảo vệ quyền sở hữu [FLT: 0] dưới sự điều khiển [FL: 1) Mô hình điều khiển của ABA], đòi hỏi các luật sư về hành vi chuyên môn ngay bây giờ, bao gồm cả những lợi ích của công nghệ và công nghệ liên quan đến các công nghệ.

Mối đe dọa thông thường của công nghệ cao nhắm đến những thực hành pháp lý

Để xây dựng một biện hộ hữu hiệu, luật sư phải công nhận những mối đe dọa phổ biến nhất:

  • Phần mềm:) Mã số mã hóa mã hoá tập tin và yêu cầu thanh toán các phím giải mã. Các công ty luật là mục tiêu hấp dẫn vì giá trị cao của dữ liệu và tính cấp thiết của hạn chót hợp pháp.
  • [FLT: 0] Những người tấn công mạo danh một nhóm tin cậy (v. d., một người bạn đời hay khách hàng) để lừa nhân viên vào quỹ hoặc chia sẻ dữ liệu nhạy cảm. Những cuộc tấn công này thường dùng các miền đã đánh lừa hoặc tài khoản email bị tổn thương.
  • Ghi điểm và Giáo Phishing: Tướng hoặc nhắm vào những email lừa đảo nhằm đánh cắp giấy ủy nhiệm hoặc cài đặt phần mềm sai trái. Việc đánh dấu có thể tham khảo các vấn đề pháp lý để tăng uy tín.
  • [FLT: 0] Đe dọa bên trong: Hiện tại hoặc cũ nhân viên, nhà thầu, hoặc đối tác lạm dụng quyền truy cập một cách vô tình hoặc vô tình. Điều này có thể bao gồm việc trộm dữ liệu, phơi nhiễm vô cớ hoặc xử lý thông tin một cách vô tình.
  • Những cuộc tấn công bất ngờ: ) những thỏa thuận bắt nguồn từ những người bán hàng thứ ba cung cấp phần mềm, dịch vụ đám mây, hoặc IT hỗ trợ công ty luật.

Điều luật riêng tư then chốt của mỗi luật sư nên nắm vững

Quy định cá nhân là một sự thay đổi giữa luật liên bang, tiểu bang và quốc tế ảnh hưởng trực tiếp đến cách mà luật sư thu thập, cửa hàng, sử dụng và chia sẻ thông tin cá nhân.

  • (DPR đại diện quy tắc bảo vệ dữ liệu): ) khớp với bất kỳ tổ chức nào xử lý dữ liệu cá nhân của từng cá nhân trong Liên minh Châu Âu, bất kể vị trí của tổ chức. Công ty luật với khách hàng hoặc nhân viên phải theo sát sự đồng ý chặt chẽ, dữ liệu thu nhỏ, thông báo vi phạm (trong vòng 72 giờ), và quyền truy cập dữ liệu đối tượng.
  • (Luật bảo hiểm và sự tài khoản trực tiếp) ) bảo vệ thông tin về sức khỏe (PHI) ở Hoa Kỳ. Trong khi nhiều luật sư xử lý dữ liệu sức khỏe trong các tổn thương cá nhân, hoặc các vấn đề về y tế, hoặc vấn đề việc làm, họ phải đảm bảo rằng bất kỳ tiến trình PHI nào cũng được bảo đảm và tiết lộ như được cho phép.
  • [FLT: 0] Luật bảo mật về tiêu dùng và hô hấp nhân tạo: [FLT: 1] Grants California quyền trên dữ liệu cá nhân của họ, kể cả quyền được biết, xóa, và tối ưu hóa trong việc bán thông tin của họ. Các công ty luật có khách hàng hoặc nhân viên ở California phải tuân thủ, ngay cả khi công ty có cơ sở ở nơi khác.
  • [FLT: 0] Luật Thông báo vi phạm hệ thống: [FLT: 1) Tất cả 50 bang đều có luật yêu cầu thông báo cho từng cá nhân và thường là các điều lệ liên quan đến việc vi phạm dữ liệu. Các yêu cầu thông báo khác nhau, khiến luật sư phải hiểu các sắc thái trong các thẩm quyền nơi họ hoạt động.
  • Bảo vệ quyền riêng tư liên bang: ) Đạo luật bảo vệ và bảo vệ dữ liệu Mỹ (ADPA) và những tờ khác đang được thảo luận. Dù chưa được đưa ra, chúng cho thấy xu hướng về tiêu chuẩn liên bang thống nhất. Việc dự đoán trước những thay đổi như thế là một tập trung cẩn thận.

Những lời cầu xin cho các chuyên gia pháp lý

Tính năng tương ứng không có nghĩa là kiểm tra hộp. Luật sư phải tích hợp các nguyên tắc riêng tư vào vải của thực hành. Điều này bao gồm việc thực hiện các bài tập bản đồ, cập nhật chính sách bảo mật, thực hiện lịch trình lưu trữ dữ liệu, và đảm bảo rằng bất kỳ nhà cung cấp dịch vụ bên thứ ba (v. d., sự lưu trữ mây, e-discovery) có sự bảo vệ tương đương. Việc không tuân thủ có thể dẫn đến hậu quả là GDPR bị phạt nặng dưới mức 4% phiên dịch hàng năm, C. (công tố viên ứng với 7.500 USD, và hành động chung của bang).

Hơn nữa, sự giao nhau giữa dữ liệu cá nhân và đạo đức pháp lý làm tăng những câu hỏi khó khăn. Ví dụ, nếu một công ty luật lưu trữ dữ liệu khách hàng trong đám mây, công ty có nghĩa vụ độc lập để kiểm tra sự bảo mật của nhà cung cấp? Câu trả lời là: theo Điều luật số 5.3 (Sự đối phó về khả năng hỗ trợ không pháp luật) và ý kiến đạo đức gần đây ở nhiều tiểu bang, công ty phải đảm bảo rằng các dịch vụ ngoài nguồn sẽ giữ bí mật.

Những thực hành tốt nhất để tăng cường sự an toàn và sự riêng tư về dữ liệu trên mạng

Một chương trình bảo vệ và bảo mật mạng mạnh mẽ không chỉ là một dự án duy nhất mà là một quá trình đang diễn ra. những thực hành tốt nhất sau đây nên là tiêu chuẩn cho mọi thực hành luật hiện đại, từ những người thực hành đơn lẻ đến các công ty đa quốc gia.

Hành động đều đặn đánh giá mối nguy hiểm

Để hiểu được những điểm yếu nằm ở đâu, hãy xem xét kỹ thuật điều khiển, xác định khoảng trống và ưu tiên cho việc điều trị, nên bao gồm kỹ thuật, quản trị và bảo vệ vật lý.

Điều khiển truy cập mạnh mẽ

Nguyên tắc của đặc quyền ít nhất: Mỗi người dùng nên chỉ có quyền truy cập để thực hiện công việc của mình. Dùng quyền dựa trên vai trò cho hệ thống quản lý tập tin, nền tảng quản lý tài liệu và cổng khách. Cần thiết xác thực đa chức năng đa chức năng (MFA) trên mọi truy cập từ xa, email, và tài khoản quản trị. Cần thiết mật khẩu phức tạp và xem xét việc sử dụng các trình quản lý mật khẩu để khuyến khích thói quen bảo mật.

Name

Mã hóa dữ liệu chuyển đổi thành dạng không đọc được, trừ khi được giải mã bằng khóa có quyền. Mã hóa tất cả các thiết bị xách tay (laptop, điện thoại, ổ USB) và đảm bảo các dịch vụ lưu trữ mây đó sử dụng ít nhất AES-56 mật mã. Để chuyển đổi dữ liệu, hãy dùng hệ thống định vị cứ 1. 0 cho kết nối từ xa. Tính mã hóa giảm hiệu ứng của việc trộm cắp vật lý hoặc truy cập trái phép.

Phát triển và thử một kế hoạch phản ứng chống lại

Không có hệ thống nào không thể xâm nhập được. Kế hoạch đáp ứng sự cố (RP) cho thấy những bước để phát hiện, chứa, xóa bỏ, và phục hồi từ một lỗ hổng. Kế hoạch này nên bao gồm vai trò và trách nhiệm rõ ràng, giao thức liên lạc (bao gồm thông báo cho ứng dụng khách hàng và bộ điều hành) và đính hôn với các chuyên gia bên ngoài (các chuyên gia pháp luật, luật pháp, các mối quan hệ công chúng). Bảng trên bảng điều khiển các trường hợp bị gián đoạn, các đội hỗ trợ thực hiện phản ứng và sự yếu đuối của họ.

Dạy dỗ về sự an toàn

Lỗi của con người là nguyên nhân dẫn đến sự vi phạm dữ liệu. Tất cả nhân viên, từ cộng sự, từ trợ lý quản trị đến trợ lý quản trị, nên được đào tạo hàng năm để nhận ra lối viết, kỹ thuật xã hội, sử dụng Internet an toàn, và báo cáo hoạt động đáng ngờ. Mô phỏng giả lập thực tế có thể củng cố việc học. Huấn luyện cũng bao gồm việc xử lý hồ sơ vật lý (vách giường) và các thực hành công việc từ xa bảo đảm.

Hệ thống sao lưu bảo mật

Các bản sao lưu thường xuyên đảm bảo rằng dữ liệu có thể được phục hồi trong trường hợp phần mềm giá trị, phần cứng bị hỏng, hoặc thiên tai. Theo quy tắc 3- 2- 1: ba bản sao dữ liệu trên hai loại phương tiện khác nhau, với một bản sao được lưu (có thể ngắt kết nối hoặc không thể thay đổi). Kiểm tra xem sự phục hồi định kỳ để đảm bảo khả năng sao lưu.

Quản lý nhà cung cấp phần ba một cách cẩn thận

Các công ty luật dựa vào nhiều bên thứ ba: nhà cung cấp mây, cơ sở lưu trữ e-discy, phần mềm quản lý phần mềm thực hành, người tổ chức email, và nhiều phần khác. Mỗi một là một điểm có khả năng thất bại. Thực hiện siêng năng trước khi nhập khẩu một nhà cung cấp, bao gồm yêu cầu thiết lập 2 hoặc ISO 27001 xác thực, xem xét lịch sử sự kiện của họ, và xác nhận rằng họ duy trì bảo hiểm thích hợp. Tính năng thường đòi hỏi nhà cung cấp thông báo cho các nhà cung cấp các lỗ hổng và theo các biện pháp bảo mật có tiêu chuẩn công nghiệp.

Nhận một chính sách làm việc từ xa bảo đảm

Công việc lai biến bây giờ là chuẩn. Đảm bảo rằng nhân viên từ xa sử dụng thiết bị quản lý công ty với hệ thống bảo mật điểm cuối, kết nối chỉ qua VPNs, và tránh Wi-Fi công cộng không mã hóa. Thiết lập các quy tắc rõ ràng để sử dụng thiết bị cá nhân (YOD) và để xử lý tài liệu vật lý tại nhà. Một chính sách công việc từ xa cũng nên bao gồm các thiết bị và dữ liệu thích hợp.

Hãy tiếp tục hiện tại với mối đe dọa và kỹ thuật

Khung cảnh an ninh mạng tiến triển nhanh. Phương pháp tấn công mới (v. d. [FLT: 0] Bộ phận an ninh công nghệ [FLT: 0] Bộ phận hỗ trợ dịch vụ mạng [FLT: 1], hoặc các cuộc tấn công cung cấp máy phụ (các bản cập nhật phần mềm bị hư hỏng) và các diễn đàn như [FL:2) Internet [FL:].

Tiếp tục giáo dục về pháp lý (CLE) cơ hội trong sự an toàn và tư vấn về dữ liệu trên mạng

Vì chiều sâu và phức tạp của các đề tài này, các chương trình chuyên về phân tích cá nhân là cần thiết để các luật sư có khả năng, nên bây giờ các thanh của bang đòi hỏi sự an toàn qua mạng hoặc kỹ thuật như một phần của việc tiếp tục học hành.

Tìm đâu ra chất lượng?

  • Hiệp hội Bar Bar BAR và địa phương: Phần lớn các liên kết thanh có các cuộc hội thảo tuần hoàn, chúng tôi, và các hội thảo hàng năm tập trung vào công nghệ thực hành luật và sự riêng tư dữ liệu. Hãy kiểm tra Hội nghị Quốc gia của BarClivers hoặc lịch trình của quán bar địa phương.
  • Các nhà cung cấp công nghệ: các công ty như Clio, MyCase, và NetDocutes host CLE-aclars được công nhận về các công ty an ninh mạng tốt nhất đã phù hợp với các công ty luật. Những công ty này thường bao gồm những lời khuyên thực tế, nhà cung cấp-không-thể-người cung cấp.
  • Tổ chức Quốc gia:) Bộ luật Công nghệ Bảo mật Mạng của ABA cung cấp nguồn tài nguyên và sự huấn luyện. Hiệp hội Quốc gia các chuyên gia (IAPP) [FLT:] cung cấp những cuộc lặn sâu vào luật riêng tư, bao gồm CCPA, GDPR, và U.S.
  • Trên trang web: ) Những trang web như L và ) xu hướng pháp luật [FLT:] đề nghị [FLT:] các khóa học về dữ liệu bị vi phạm, nghĩa vụ đạo đức, và sự tuân thủ theo luật.
  • Trường học Law:) Nhiều trường luật hiện cung cấp chương trình bằng chứng bằng chứng về luật bảo vệ mạng hoặc dữ liệu riêng tư. Một số, như Trung tâm của Stanford cho Internet và Hội, cung cấp miễn phí webinars và giấy nghiên cứu.

Tìm kiếm điều gì trong một chiếc xe chở tin tức an ninh mạng

Không phải tất cả các CLE được tạo ra bằng nhau. để tối đa hóa giá trị, tìm kiếm chương trình mà:

  • Nói về cả mặt pháp lý lẫn kỹ thuật, thay vì lý thuyết trừu tượng.
  • Cung cấp các bảng kiểm tra, mẫu hoặc khung có thể được thực hiện ngay lập tức.
  • Bao gồm các vụ án luật pháp và các vụ dàn xếp theo quy định để minh họa hậu quả của thế giới thực.
  • Cũng có những bài tập thực tiễn, chẳng hạn như phản ứng tiêu cực hoặc duyệt lại hợp đồng cho các hợp đồng bán hàng.
  • Nếu có thể, đưa ra tín dụng đạo đức, vì an ninh mạng trực tiếp liên quan đến nhiệm vụ giữ bí mật và có khả năng.

Các nhiệm vụ đạo đức dưới quy tắc mô hình

Không thể nói quá những sự khác nhau giữa an ninh mạng và đạo đức pháp lý. Vào năm 2018, Luật ABA sửa đổi 1. 6. (Sự xác nhận thông tin) để làm rõ rằng luật sư phải thực hiện những bước hợp lý để ngăn chặn sự vô căn cứ hoặc thông tin khách hàng. Bình luận rõ ràng 18 bang là luật sư nên cân nhắc mức độ an ninh cần thiết cho các loại thông tin khác nhau.

  • Quy tắc 1.1:) Trách nhiệm của công nghệ bao gồm việc hiểu và rủi ro của công nghệ.
  • Quy tắc Mô tả nghĩa vụ của sự bí mật đòi hỏi những bước xác nhận để bảo vệ dữ liệu khách hàng, bao gồm mã hóa, an toàn kênh liên lạc và quản lý nhà cung cấp cẩn thận.
  • Quy tắc số 5. 3: Luật sư giám sát phải chịu trách nhiệm cho các nhân viên không luật sư và các nhà cung cấp bên thứ ba có quyền truy cập dữ liệu khách hàng. Điều này đòi hỏi phải kiểm tra các giao thức bảo mật và bảo vệ hợp đồng.
  • Luật Môi - se 8.4(c): có hành vi bất lương, gian lận, lừa đảo hoặc xuyên tạc - một luật sư vạch trần sơ suất dữ liệu khách hàng có thể phải đối mặt với hành động sửa phạt nếu sự vi phạm có hệ thống không tuân theo tiêu chuẩn an ninh.

Các ý kiến đạo đức của bang ngày càng bàn về những tình huống cụ thể, chẳng hạn như việc sử dụng máy tính đám mây, mã hóa email, và lưu trữ dữ liệu số. Chẳng hạn, Hiệp hội Thanh thiếu niên New York ngày càng xác nhận rằng các luật sư có thể sử dụng các dịch vụ mây nhưng phải có những bước hợp lý để đảm bảo sự bảo bảo bảo bảo bảo bảo bảo bảo bảo bảo bảo bảo mật độ bảo mật khẩu. Giấy ủy nhiệm và an ninh mạng giúp luật sư định hướng các yêu cầu sắc màu này.

Những lời đặc biệt dành cho anh Solo và các anh em tập sự nhỏ

Trong khi các công ty lớn thường dành riêng cho IT và an ninh các đội ngũ riêng lẻ và các công ty nhỏ thường có ngân sách giới hạn và chuyên môn họ phải đối mặt với cùng một mối đe dọa và thường thiếu nguồn lực để phục hồi từ một lỗ hổng chiến lược then chốt cho các công ty nhỏ hơn bao gồm:

  • Sử dụng phần mềm quản lý thực hành toàn diện bao gồm các tính năng bảo mật được xây dựng trong đó như mã hóa, MFA, và tự động sao lưu.
  • Đưa sự an toàn ra ngoài cho một nhà cung cấp dịch vụ (MP) chuyên về các thực hành pháp lý.
  • Mua bảo hiểm an ninh mạng bao gồm chi phí phản ứng vi phạm, biện hộ hợp pháp và phạt tiền.
  • Tham gia vào các nhóm bạn bè hoặc các hiệp hội an ninh mạng xung quanh các hội đồng thanh để chia sẻ những thực hành tốt nhất và sự đe dọa tình báo.

Chuẩn bị cho tương lai: Al, IT, và bề mặt tấn công mở rộng

Khi các công ty luật nhận công cụ thông minh nhân tạo để xem xét tài liệu, phân tích hợp đồng, nghiên cứu hợp pháp, những thách thức bảo mật mới và bảo mật mới được nêu lên. Hệ thống AI thường cần thiết những bộ dữ liệu lớn để đào tạo, và những bộ dữ liệu này có thể chứa thông tin khách hàng nhạy cảm. Các luật sư phải đảm bảo rằng các nhà cung cấp dữ liệu hợp pháp cung cấp đầy đủ và việc sử dụng các thông tin bảo mật vi phạm an ninh và việc sử dụng AI không vô tình vi phạm. Tương tự, Internet của những thứ (IT) bao gồm các thiết bị văn phòng thông minh, máy ảnh và trợ lý giọng nói - và mở rộng của cuộc tấn công. Một diễn giả thông minh trong một phòng hội nghị có thể đặc quyền truy cập vào các cuộc hội thảo.

Kết thúc

Bảo vệ mạng và sự riêng tư không còn tùy chọn cho luật sư hiện đại; chúng không còn là chủ đề khác biệt nữa; chúng là không thể thiếu sự hiệu quả, thực hành đạo đức. từ hiểu biết về mê cung quản lý của GDPR và CCPA để thực hiện việc phòng thủ thực tế như mã hóa, MFA, và các kế hoạch phản ứng, các yêu cầu pháp luật chuyên gia là đáng kể. Tiếp tục giáo dục pháp lý cung cấp các kiến thức được cấu trúc, nâng cao, nâng cao- kịp thời cần thiết để đáp ứng những thách thức này một cách hiệu quả. Bằng cách đầu tư vào việc học tập, luật sư không chỉ bảo vệ khách hàng và công ty của họ mà còn duy trì tính toàn vẹn của chính công ty pháp luật. Các mối đe dọa sẽ tiếp tục thay đổi, nhưng một nền tảng trong dữ liệu an ninh mạng và tính chất lượng bảo vệ tính chất chất lượng cao, đảm bảo đảm sự bền vững chắc chắn là các luật sư, các công ty, và các công ty kỹ thuật số, và các công ty ngày càng tin cậy và các công ty kỹ thuật số, và các công ty khác.