サイバー侵害に備えるために法律顧問が行う必要があること

ゼネラル カウンセル (GC) は、無数の法的およびビジネス上の問題に対処しますが、サイバー攻撃への対処ほど悲惨なものはないかもしれません。インシデントに対処する前であっても、いつ攻撃が成功するかわからないというストレスがあります。特に、攻撃を防ぐ保証された方法はなく、どの組織も狙われる可能性があるためです。最新のM-Trends 2019レポートのデータは、ほぼすべての業界または市場の企業が昨年侵害を経験したことを示しています。

GC が適切なインシデント対応 (IR) 計画の策定に集中できるようにするには、侵害が発生した場合に何が問題になるかを完全に理解する必要があります。今日の攻撃者は、ネットワークへの侵入においてこれまで以上に巧妙になっているだけでなく、企業ネットワーク内に侵入すると、よりステルス性を高め、発見するのがより困難になるように技術を洗練させています。 M-Trends 2019は、世界の中央滞留時間 (攻撃者が発見されるまでにネットワーク内にとどまる時間) が 2018 年で 78 日であることを明らかにしました。これは、知的財産、個人を特定できる情報、貿易などの機密データを取得するのに十分な時間です。シークレットなど。

GC が考慮しなければならない違反のもう 1 つの側面は、コストです。 2018 年半ばに報告された調査によると、データ侵害の世界平均コストは 386 万ドルです。もちろん、無形資産も考慮する必要があります。企業のブランドや評判への打撃、顧客や株主の信頼の喪失、その後の訴訟や和解にかかる時間、注意散漫、費用などです。規制上の罰金、IT セキュリティを改善するためのコスト、監査要件、スタッフの生産性への影響など、その他のコストも考慮に入れる必要がある場合があります。

サイバーセキュリティはチームスポーツです.強力な IR 計画を作成して実行するには、GC と CISO 間の協力、および財務やマーケティングなどのさまざまな内部グループ間の調整が必要です。また、経営幹部と取締役会の両方が関与し、外部の専門家も含まれる可能性があります。

この新しいサイバー リスクの世界で、GC が直面する最も重要な問題は、全体的な準備と、危機への対応方法を知ることです。以下は、組織がサイバー インシデントに備えていることを確認するために GC が実行できるいくつかの重要な手順です。

接続。会社全体のリーダーとの関係を構築します。特に、CISO と連携してください。会社のデータについて、何が重要で、どのように保護されているか、データがどこにあり、どこからアクセスできるか、セキュリティ チームがどのレベルの可視性を持っているかを知ることが重要であるためです。彼らのIT資産。 CISO と協力して、標的にされる可能性が最も高い資産とデータ、およびその目的 (金銭的利益、企業秘密の盗難、インサイダー取引など) を判断します。サイバー セキュリティは、CISO が単独で管理する問題ではなくなりました。今日のサイバー環境を考えると、CISO と GC の間の強力なパートナーシップが不可欠です。

プラン。 IR 計画を作成し、その計画を実行するために必要なチームを特定します。対応チームには、CEO、CISO、CMO、社内/社外の法律顧問、コミュニケーションの専門家 (PR、投資家向け広報など)、および社外のインシデント対応担当者/フォレンジック専門家が含まれる場合があります。

中核となるチーム メンバーが特定されたら、違反が発生した場合にグループが迅速に行動できるように、全員に保持者を配置します。フォレンジック プロバイダーを配置することは、侵害の詳細 (侵害がどのように発生したか、実際に盗まれたもの、侵害された他の資産、およびサイバー セキュリティ防御を強化するために何ができるかなど) を判断するために非常に重要です。できるだけ早く。事前に準備すればするほど、チームは危機に迅速に対応できます。

計画の別の、しかし同様に重要な部分は、機密情報やデータにアクセスできるベンダーとの会社の契約関係を調べて、どのようなサイバーセキュリティ対策と侵害手順が実施されているかを理解することです.今後の慣行として、CISO のオフィスと協力して、新しい契約関係を結ぶ前に、潜在的なベンダーのセキュリティ レビューを実施します。これには、訴訟、合併および買収活動、特許出願、および人事問題に関連する通信やドラフトなど、企業の最も機密性の高いデータやドキュメントの一部を保持する外部の法律事務所が含まれます。組織のデータが保護されていることを保証するためにベンダー契約に添付できる標準的なデータ プライバシーおよびセキュリティ補遺を作成し、ベンダーが漏洩または違反にさらされた場合に適用されるリスク割り当て条項を含めます。

また、機密データが侵害された可能性がある場合に組織が顧客に対して負う可能性のある侵害通知要件およびその他の義務にも注意してください。

練習。 IR 計画をテストします。卓上での危機演習を実施し、内部対応チームのメンバーと外部の専門家が事前に特定され、「オンコール」されていることを確認します。今日のモバイルおよびソーシャルの世界では、特に GDPR の 72 時間前の通知要件など、規制の期限が短い場合、タイムリーに危機対応を管理することが重要です。事前に CMO や CEO とのコミュニケーション方法を計画し、さまざまな対応を実践します。練習セッションからは、全体的なプロセスを改善および改善する方法が常に得られることに注意してください。チームが弱点を特定したり、質問をしたりせずに立ち去る場合は、計画にギャップがある可能性があります。

守る。 GC のオフィスを通じてコミュニケーションとインシデント対応を調整することにより、侵害の前 (可能であれば) および少なくとも侵害の直後に、弁護士とクライアントの特権を確立して保護します。侵害の後に訴訟、調査、政府の調査が行われることが多いことを考えると、外部の弁護士、IR コンサルタントなどと事前に三者間の MSA を用意しておくことは非常に価値があります。

関与する。 CISO からの定期的な最新情報を取締役会 (または取締役会の委員会) に提供します。サイバーセキュリティに関連する受託者責任では、取締役会が認識し、教育を受け、関与し、ビジネス判断規則に似た「合理性」基準を満たす必要があります。これらの基準には、会社がユーザー ID とパスワードに一般的に使用される方法を採用すること、サードパーティに侵入テストを実行させること、既知のセキュリティの脆弱性を修正することを保証することが含まれます。

検討。サイバー保険に加入することを考え、会社の全体的な保険プログラムの文脈でそうしてください。侵害のコストを把握し、会社が損失を被るリスクを評価することで、サイバー保険の使用が正当化される場合があります。サイバー保険リスク評価は、保険引受のサイバー リスクの特定と分類を容易にするために、組織のテクノロジー、プロセス、および人員に基づいて、組織のリスク レベルの迅速かつ高度な分析を提供します。

ここ数年、私たちはサイバー セキュリティがバックオフィスや IT の課題から注目を集める取締役会レベルの問題へと移行するのを目の当たりにしてきました。ほとんどの企業にとって、侵害はもはや「もしあれば」ではなく、「いつ」の問題です。侵害に備えてこれらの手順を実行することで、GC は避けられない事態に備えて軽減するための確実な出発点を得ることができます。