压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　隨著智能、互聯(lián)設(shè)備日益普及并越來越多地承載高價值信息（比如醫(yī)院所持有的病人醫(yī)療記錄），網(wǎng)絡(luò)攻擊者的入侵點也在增多。 審視網(wǎng)絡(luò)攻擊的范圍以及潛在的法律風險，內(nèi)部法務(wù)工作者必須知道，哪些操作對于公司保持正常運轉(zhuǎn)是至關(guān)重要的，這些操作可以中斷多長時間而不至于導(dǎo)致長期后遺癥

　　“物聯(lián)網(wǎng)”現(xiàn)在成了技術(shù)專家們的談資。它指的是一個為了方便起見，以及為了日常營運，而由政府和公司所使用的相互連接的智能化設(shè)備所組成的復(fù)雜世界。這些相互連接的設(shè)備，可以加快客人預(yù)訂一家豪華酒店的速度，或?qū)⑨t(yī)院的心臟監(jiān)視器鏈接到一名病人的病史。但是，這些系統(tǒng)也是網(wǎng)絡(luò)攻擊的侵入點。

　　對于一些行業(yè)來說，比如電力工業(yè)和國防工業(yè)，網(wǎng)絡(luò)攻擊天天發(fā)生。網(wǎng)絡(luò)攻擊也與日俱增地以醫(yī)院、大酒店和大學為目標。其中每一個目標都提供了獲取具有高潛在價值的信息的通道，而與財務(wù)公司等以前受到攻擊的目標相比，它們的安全屏障往往沒有那么先進。

　　比如說，在2012年，在所有數(shù)據(jù)泄露事故當中，發(fā)生在醫(yī)療保健行業(yè)的占36％，這是行業(yè)中所報道的最高數(shù)據(jù)外泄比率。醫(yī)院存儲著大量個人信息。在過去的兩年里，單單互聯(lián)網(wǎng)連接的醫(yī)療設(shè)備一項，就有近200起網(wǎng)絡(luò)攻擊直沖而來。這是一個驚人的例子，足顯醫(yī)療保健行業(yè)多么吸引網(wǎng)絡(luò)攻擊。

　　和醫(yī)院一樣，酒店也已成為誘人的目標。酒店可能無法監(jiān)測和保護那些分布全球各地并與各種各樣電子服務(wù)提供商相連接的設(shè)施。在一家豪華酒店舉行會議的公司董事會，可能依賴并不安全的無線保真（Wi-Fi）獲得無線互聯(lián)網(wǎng)接入。在酒店發(fā)生的一次令人尷尬的敏感性客戶數(shù)據(jù)外泄，或一次黑客團伙對一位高級管理人員所發(fā)起的網(wǎng)絡(luò)攻擊，對一酒店運營者的聲譽而言，會是毀滅性的打擊。

　　教育行業(yè)也同樣脆弱。2012年，教育行業(yè)所報道的數(shù)據(jù)外泄事故在所有行業(yè)當中位居第二，僅次于醫(yī)療行業(yè)。瞄準大學而獲取受到訪問限制的數(shù)據(jù)或技術(shù)，這樣可以節(jié)省多年而昂貴的研發(fā)開支。除了對教研人員的系統(tǒng)直接發(fā)起黑客攻擊之外，安保操作上簡單的疏忽也可能導(dǎo)致敏感性數(shù)據(jù)丟失。

　　基礎(chǔ)知識：內(nèi)部律師今天可以有何作為

　　▲ 營造安全文化

　　你所在公司的每一個人都要明白，安全是公司的基本支柱。應(yīng)當指示工作人員知道，安全為公司所有其他運營活動提供了便利，并且，如果沒有安全，公司就會遭受促使公司走向失敗的風險。這不是要制造恐懼文化，相反，而是營造安全文化，一種確保每一名工作人員了解并遵循安全程序，并協(xié)助公司防止許多可能造成損害的破壞性網(wǎng)絡(luò)攻擊的文化。

　　公司內(nèi)部律師可以率先開發(fā)和推廣安全文化。律師可以提供幫助，把安全程序的技術(shù)要求“翻譯”成公司員工可以理解和執(zhí)行的日常用語。例如，通過社會工程的入侵（即通過瞄準你的電子郵件和密碼等個人信息而利用你的弱點）和物理和網(wǎng)絡(luò)混合攻擊（供應(yīng)商或承包商在場時可能發(fā)生）會造成巨大傷害，并且非常難以以技術(shù)方案防止這些攻擊。律師可以彌合技術(shù)解決方案以及打擊這些入侵所需行為變化之間所存在的縫隙，從而提高認識，創(chuàng)建安全文化。

　　▲ 未雨綢繆

　　一項2013年發(fā)布的在安全問題方面的重大調(diào)查研究表明，數(shù)據(jù)泄露成本最小化的三個最重要方法是：（1）創(chuàng)建和維持一項數(shù)據(jù)泄露應(yīng)急預(yù)案；（2）保持較強的安全態(tài)勢；（3）聘請首席信息安全官（CISO）。（注釋1） 這三者都是公司所需要的：確保數(shù)據(jù)處于公司控制之下，鍥而不舍地核驗安全保護做法，并投資聘請合格專家管理安全事務(wù)。

　　公司內(nèi)部法律顧問應(yīng)在制定安全計劃和打造安全態(tài)勢方面扮演關(guān)鍵角色。他們可以彌合由IT人員或技術(shù)人員所確定的安全要求與操作人員、管理層以及公司其他組織實施這些安全要求之間的差距，可以幫助IT人員和技術(shù)人員了解公司所適用的法律和監(jiān)管要求，還可以擔當一個溝通入口，就公司內(nèi)部各部門上上下下所關(guān)心的與網(wǎng)絡(luò)有關(guān)的問題進行交流。

　　企業(yè)一旦開始開發(fā)安全政策，律師就應(yīng)當發(fā)揮作用，而不要等到開發(fā)完畢之后只是審閱這些政策。如果等到那時才參與進去，你就因為沒有投入這份工作而面臨風險。更重要的是，你會錯過了解這些政策背后的道理的機會，以及錯過了解這些政策所采用的安全程序的機會。

　　▲ 參與安全政策規(guī)劃委員會

　　應(yīng)當定期與公司首席信息安全官交流；確定參與安全規(guī)劃的其他關(guān)鍵性管理人員；打聽打聽看是否有其他任何人應(yīng)當參與進來；把這些人聚集起來成立安全政策規(guī)劃委員會，并自始至終參與這一委員會。

　　有太多的律師避免接觸IT團隊，因為他們覺得后者的題材太具技術(shù)性。當然，涉及數(shù)據(jù)安全和關(guān)鍵基礎(chǔ)設(shè)施的機制會是技術(shù)性的。然而，對于包括律師在內(nèi)不懂技術(shù)的人而言，大部分資料非常易于學習。你可以自學很多的技術(shù)概念，但你的角色應(yīng)當集中于有關(guān)于公司安全“大畫面”的政策問題，包括所涉及的成本和效益，以及支配公司安全問題的法律法規(guī)。

　　如果你不能理解這些安全政策，或者不懂這些政策是如何開發(fā)出來的，或者不懂如何修訂這些政策，那么，你就遇到大麻煩了。如果你是這樣一種處境，那么請返回到第一步：與公司首席信息安全官交流。

　　▲ 你的數(shù)據(jù)受到哪些控制？

　　在對公司發(fā)起的網(wǎng)絡(luò)攻擊當中，近10％是內(nèi)部人所為，即公司員工所為。他們決意從事犯罪、破壞和其他惡劣活動。把入侵者拒于公司之外是不夠的，你需要應(yīng)對來自公司內(nèi)部的威脅。

　　在這方面，關(guān)鍵是對數(shù)據(jù)設(shè)置控制手段，比如，應(yīng)當對數(shù)據(jù)進行分隔，并且應(yīng)當規(guī)定只有通過多重批準程序才能訪問高度敏感性數(shù)據(jù)。你所在公司的數(shù)據(jù)控制政策所要解決的關(guān)鍵問題包括：

　　■數(shù)據(jù)是什么？

　　■數(shù)據(jù)在哪里？

　　■哪些人控制著數(shù)據(jù)？

　　■如何訪問數(shù)據(jù)？

　　■你是否在保護應(yīng)當保護的數(shù)據(jù)？

　　如何對數(shù)字化資料進行安全保護可能屬于安全團隊（即IT技術(shù)人員）的工作范圍，但對內(nèi)部律師而言，了解和監(jiān)控數(shù)據(jù)控制手段同樣是重要的。

　　審核工作可以幫助你確定可用數(shù)據(jù)，并確定賦予員工的訪問權(quán)限。應(yīng)當確保你所在公司人事與安全政策明確規(guī)定，在內(nèi)部審核或調(diào)查期間，以及在應(yīng)對網(wǎng)絡(luò)攻擊時，法務(wù)部門和IT部門可以審核員工對數(shù)據(jù)的訪問。你所在公司的政策還應(yīng)明確規(guī)定，哪些人擁有公司所控制的數(shù)據(jù)。

　　審核工作還可為你的法務(wù)團隊就公司所保有的數(shù)據(jù)類型提供富有價值的洞見：數(shù)據(jù)存儲的地方（包括存儲在“云”中，即一種異地服務(wù)器，通常由第三方擁有和運營），數(shù)據(jù)傳輸?shù)哪康牡兀瑪?shù)據(jù)傳輸?shù)姆绞剑约澳男?shù)據(jù)被認為是最重要的數(shù)據(jù)。你可能會發(fā)現(xiàn)，有些數(shù)據(jù)或項目是法務(wù)部門并不知道的。

　　把這個新發(fā)現(xiàn)作為契機，在做好這些數(shù)據(jù)的安全保護工作之外，評估你所在公司的知識產(chǎn)權(quán)組合，并確認你是在適當?shù)乇Ｗo就這些信息所享有的法律權(quán)利。應(yīng)當審查公司在數(shù)據(jù)存儲和傳輸方面的合同，同時也要注意在各個司法管轄區(qū)之間在法律上的不同要求。

　　▲ 安全計劃將如何限制作業(yè)中斷？

　　內(nèi)部律師必須知道，哪些操作對于公司保持運轉(zhuǎn)是至關(guān)重要的，這些操作可以中斷多長時間而不至于導(dǎo)致長期后遺癥。比如，如果某個黑客團伙發(fā)起分布式拒絕服務(wù)（DDOS）攻擊，以斷裂性請求（disruptive requests）湮滅你所在公司的系統(tǒng)，那么你需要了解這將對操作產(chǎn)生什么影響。網(wǎng)絡(luò)安全界有很多不同模式的支持備份系統(tǒng)，從完全冗余到僅僅恢復(fù)關(guān)鍵系統(tǒng)，不一而足。你應(yīng)當知道你所在的公司選擇哪些類型的系統(tǒng)，原因是什么。這種意識會有助于你的法律部門支持最關(guān)鍵性服務(wù)，并了解中斷對操作所產(chǎn)生的影響。

　　應(yīng)當以安全計劃為契機，同時開發(fā)你與執(zhí)法部門的溝通程序。應(yīng)當確定哪位執(zhí)法人員最有可能提供幫助。 警方很少有對數(shù)據(jù)泄露做出回應(yīng)的先進技能。聯(lián)邦執(zhí)法部門的能力也高低不同。應(yīng)當在面臨網(wǎng)絡(luò)攻擊壓力之前就開始聯(lián)系你所在地區(qū)的聯(lián)邦調(diào)查局辦公室，并定期更新你的聯(lián)系方式。應(yīng)當就你的計劃實施流程進行討論，以確定如何通知當?shù)氐穆?lián)邦調(diào)查局辦公室，執(zhí)法部門于何時以及如何加入你們的調(diào)查工作，如何保存和披露信息，以及其他細節(jié)。這會為你在承受網(wǎng)絡(luò)攻擊壓力期間節(jié)省大量時間，并大量減少混亂。

　　▲ 捂住錢袋，聰明花錢

　　為獲得先進的安全性，美國國家安全局（NSA）投資數(shù)十億美元，但顯然未能對數(shù)據(jù)進行區(qū)隔分類，未能實施雙重訪問控制。這些都是基本的、廉價的措施，實施這項措施，可能本來會阻斷愛德華·斯諾登輕松獲取大量數(shù)據(jù)，這些數(shù)據(jù)本來是他無法獲得和公開傳播的。

　　首先應(yīng)當實施簡單而低成本的解決方案。部署低成本的加密技術(shù)可以通過確保任何丟失的數(shù)據(jù)無法讀取而根除數(shù)據(jù)損失。應(yīng)當要求你的安全團隊進行驗證，以確保加密等簡單的解決方案被考慮在內(nèi)。其他的低成本解決方案包括去除數(shù)據(jù)下載能力、復(fù)制數(shù)據(jù)，以及關(guān)閉那些準許對你的系統(tǒng)進行未經(jīng)授權(quán)訪問（包括通過可移動介質(zhì)進行訪問，比如大拇指U盤）的未用端口。此外，商業(yè)服務(wù)可以監(jiān)控開放源碼資料，并開出清單，列出可能存在的威脅單。

　　這幾類服務(wù)可以降低總成本，并通過幫助公司員工專注于對付為數(shù)更少的威脅而提高安全性。這些服務(wù)通常同樣用于監(jiān)測商標濫用。分享這些服務(wù)，并與安全團隊分攤成本，可能是一個既提高安全性又保護公司品牌的好機會。

　　▲ 好安全需要好情報

　　不少業(yè)內(nèi)團體現(xiàn)在提倡威脅情報方面的數(shù)據(jù)共享，以便在攻擊發(fā)生之前即能識別潛在攻擊。在過去的幾年當中，這些團體都是非正式的，它們松散地共享數(shù)據(jù)，但并沒有獲得足夠的安全保障。這些不安全的信息共享，不應(yīng)繼續(xù)成為麻煩問題。目前的許多平臺在業(yè)界成員或執(zhí)法部門之間提供安全有效的數(shù)據(jù)共享。這些團體可以幫助你所在公司專注于對付可能產(chǎn)生的威脅，專注于與執(zhí)法部門合作。

　　在很多時候，律師對數(shù)據(jù)共享方案充滿了警惕。這是一種過時的思維方式。如果你所在公司的首席信息安全官提議實施數(shù)據(jù)共享，你應(yīng)當歡迎這種想法。你應(yīng)當花時間了解可用的不同的平臺，并提出最好的內(nèi)部保障措施，以使數(shù)據(jù)共享成為有效的工具。作為內(nèi)部律師，你也可以利用所擬用的平臺幫助公司識別任何潛在的法律陷阱，并識別這些缺陷會對公司及其業(yè)務(wù)產(chǎn)生什么結(jié)果。

　　▲ 你該轉(zhuǎn)移風險嗎？

　　你是否為網(wǎng)絡(luò)攻擊購買保險了？很少有首席信息安全官跳出技術(shù)保障的范圍來看待網(wǎng)絡(luò)安全的風險管理元素。絕大多數(shù)的標準責任保險單并不涵蓋數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊以及對之所做出的回應(yīng)。

　　但目前市場上已有越來越多的保險產(chǎn)品處理網(wǎng)絡(luò)攻擊和攻擊回應(yīng)問題。

　　應(yīng)當進行風險評估，用以計算網(wǎng)絡(luò)攻擊預(yù)期損失乘以網(wǎng)絡(luò)攻擊預(yù)期發(fā)生率所得到的數(shù)值，從而確定是否應(yīng)當購買額外責任險。你所在公司的首席信息安全官應(yīng)當有能力幫助你分析風險責任，但法務(wù)部門應(yīng)當審視當前所購買的責任保險，以確認這些保險是否足夠。

　　你已被黑客入侵。怎么辦？

　　你想給誰打電話？

　　在網(wǎng)絡(luò)攻擊中，你是首先給技術(shù)調(diào)查員打電話呢，還是首先給律師事務(wù)所打電話？應(yīng)當是律師事務(wù)所。律師事務(wù)所可以在律師-委托人特權(quán)之下幫助你保護整個調(diào)查流程。一些精品律師事務(wù)所已經(jīng)與法醫(yī)調(diào)查權(quán)限結(jié)合起來，組建了混合咨詢模型，這為在未來的訴訟當中限制證據(jù)開示范圍提供了最好的保護。首席信息安全官幾乎從來沒有想過首先給律師打電話。但是，如果這樣做，并且有對路的律師事務(wù)所整裝待發(fā)，不僅可以迅速推進你的調(diào)查工作，同時也可以保護你所在公司免于承擔責任風險。應(yīng)當從一開始就利用律師-委托人特權(quán)保護你的敏感性調(diào)查。

　　請注意，與適用于內(nèi)部法律顧問的特權(quán)一樣，律師-委托人特權(quán)已被一些州進行了狹義解釋。這項特權(quán)不太可能適用于基于持續(xù)業(yè)務(wù)活動的通信活動。為了避免喪失這項重要的保護特權(quán)，內(nèi)部律師應(yīng)當避免親自指揮任何調(diào)查，而應(yīng)當委任外部顧問來承擔這一領(lǐng)導(dǎo)角色。

　　當首席信息安全官由總法律顧問管理，或總法律顧問已經(jīng)深度介入對安全團隊的監(jiān)管時，就產(chǎn)生了一個顯著相關(guān)的問題。這種報告機制很可能被解釋為身處律師-委托人特權(quán)范圍之外的持續(xù)業(yè)務(wù)關(guān)系。當把首席信息安全官這一角色從法律部門直接管理鏈條中移除，并且外部律師管理調(diào)查活動時，這項特權(quán)就得到了最明確的保護。

　　▲ 證據(jù)保全

　　證據(jù)保全帶來了兩個問題：一個是技術(shù)上的問題，另一個是法律上的問題。內(nèi)部律師對兩者均可提供幫助。調(diào)查人員所面臨的最常見的技術(shù)問題，是事件回應(yīng)者不懂數(shù)字證據(jù)保全。比如，IT人員可以分隔被黑客感染并被用來穿透公司網(wǎng)絡(luò)的計算機或服務(wù)器，然后復(fù)制硬盤驅(qū)動器，并從網(wǎng)絡(luò)中將其刪除。這聽起來不錯，對吧？但是錯了！隔離可能會在短期內(nèi)使麻煩停住，但一旦把機器從網(wǎng)絡(luò)中刪除，調(diào)查人員將難以從一開始就追蹤導(dǎo)致攻擊的黑客行為。觀察并記錄前導(dǎo)活動的機會已被破壞，而如果有了這個機會，你就有機會了解，黑客是如何獲得進入你的系統(tǒng)的入口的，更重要的是，你就有機會了解，你可以如何防止今后發(fā)生類似的攻擊。

　　從法律角度看，在被隔離機器上存在的實物證據(jù)，現(xiàn)在未必有助于在以后的訴訟程序當中采用。與事件回應(yīng)者相比，法醫(yī)學調(diào)查員必須在處理數(shù)字證據(jù)方面遵守更高的標準。驅(qū)動器的副本必須通過采用法醫(yī)算法所進行的驗證，以確保其精確性。你所在公司的IT人員可能也同樣毀壞了由隨后的法醫(yī)檢驗員在法庭上驗證這些證據(jù)的任何機會。內(nèi)部律師可以而且應(yīng)當確保安全團隊了解，如何以一種為在以后的法律訴訟當中采用電子證據(jù)而對之加以維持的方式保全和維持電子證據(jù)。

　　▲ 在披露與精確之間權(quán)衡

　　在美國，幾乎所有的州現(xiàn)在都有數(shù)據(jù)泄露通知法。這些法律一般要求及時發(fā)出數(shù)據(jù)泄露通知。然而，在調(diào)查完成之前匆忙披露數(shù)據(jù)泄漏可能給你所在公司帶來更多麻煩。比如，高估泄漏范圍，以及在報道中增大數(shù)據(jù)泄露數(shù)量，都會增加成本。鑒于每次泄露記錄的平均成本是159美元，這種過度披露會是一個代價昂貴的錯誤。

　　在眾目睽睽之下過早行事之前，應(yīng)當確認丟失的數(shù)據(jù)是在法律上定義為需要公開的個人信息。作為內(nèi)部律師，在準確適用那些規(guī)定通知范圍、時間與方式的法律法規(guī)的要求方面，你能有幫助。

　　如果要求發(fā)出泄露通知，那么這些通知應(yīng)是清晰而明確的。律師在此同樣可以提供幫助，包括確保通知用語清晰而明確，以使之滿足所適用法律法規(guī)的要求，并不至于提供可能使公司面臨額外責任的無關(guān)信息。

　　最后，公司在通知的同時也可以考慮提供公共援助，比如提供能夠連接信用檢查服務(wù)供應(yīng)商或身份盜竊監(jiān)控服務(wù)供應(yīng)商的網(wǎng)絡(luò)鏈接。提供公共援助可能有助于留住客戶好感，甚至有助于防止受害者在不滿情緒刺激下發(fā)起其他訴訟。內(nèi)部律師應(yīng)當與公司業(yè)務(wù)需求以及公司在維護客戶關(guān)系方面的重要性保持高度一致。與此同時，如果披露給客戶的數(shù)據(jù)過多，那么律師可以幫助公司管理其潛在的法律風險。