TechReport 2020: Cybersicherheit

Der Cybersecurity-Bericht wird von LawPay gesponsert.

ABA TechReport kombiniert Daten aus dem jährlichen ABA Legal Technology Survey Report mit Expertenanalysen, Beobachtungen und Vorhersagen von führenden Unternehmen auf dem Gebiet der Rechtstechnologie. Jeden Montag veröffentlichen wir einen neuen Bericht von einem unserer Experten. Bleiben Sie also auf dem Laufenden!

Die Ergebnisse stammen aus dem ABA Legal Technology Survey Report 2020, der vom Legal Technology Resource Center (LTRC) der American Bar Association durchgeführt wird. Wie in den vergangenen Jahren sammelte die Umfrage 2020 Informationen von Rechtsanwälten in privater Praxis zu einer Vielzahl von Themen im Zusammenhang mit dem Einsatz von Technologie in der Rechtspraxis. Die Antworten kamen von Anwälten, die in einer Vielzahl von Umgebungen tätig waren: Soli (26%); Firmen mit 2-9 Anwälten (30%); Kanzleien von 10-49 Anwälten (17%); Kanzleien mit 50-99 Anwälten (5%); Kanzleien mit 100-499 Anwälten (10%) und Kanzleien mit mehr als 500 Anwälten (12%).

Aus den gesammelten Informationen erstellte der LTRC seine Umfrage 2020, die aus fünf Bänden bestand:

  1. Technologiegrundlagen & Sicherheit
  2. Anwaltskanzlei Technologie
  3. Marketing & Kommunikationstechnik
  4. Online-Recherche
  5. Litigation Technology & E-Discovery

Die Umfrage 2020 enthält eine detaillierte Analyse der Antworten auf die 262 Fragen sowie Trendberichte, in denen die Ergebnisse mit denen der Vorjahre verglichen werden. Die Antworten zu „Technology Basics & Security“ betrafen 21 Fragen zum Thema Sicherheit, darunter Technologierichtlinien, Sicherheitstools, Sicherheitsverletzungen, Viren / Spyware / Malware, physische Sicherheitsmaßnahmen und Backups.

In diesem TechReport wird erläutert, wie die Ergebnisse der Umfrage 2020 im Vergleich zu den Vorjahren in den spezifischen Bereichen des Incident Awareness und der Incident Response Planning verglichen werden. Zunächst ist es jedoch angebracht, allgemein die ethischen und rechtlichen Fragen sowie den aktuellen Stand der Cybersicherheitsbedrohungen zu berücksichtigen.

Ethische und rechtliche Überlegungen; Cybersicherheitsbedrohungen

Der TechReport für Cybersicherheit im letzten Jahr erörterte grundlegende ethische Regeln für Kompetenz, Kommunikation und Vertraulichkeit, die die Bedeutung der Cybersicherheit für den Beruf unterstreichen. Diese Regeln sind nach wie vor sehr anwendbar und sollten in der täglichen Praxis verankert sein. Darüber hinaus stellte TechReport im vergangenen Jahr fest, dass der Ständige Ausschuss für Ethik und berufliche Verantwortung der ABA formelle Stellungnahme 483 „Pflichten der Anwälte nach einem elektronischen Datenverstoß oder Cyberangriff“ (17. Oktober 2018) enthält, wonach „das Potenzial für einen ethischen Verstoß besteht, wenn a Der Anwalt unternimmt keine angemessenen Anstrengungen, um Datenverlust zu vermeiden oder Cyber-Intrusions zu erkennen, und dieser Mangel an angemessenen Anstrengungen ist die Ursache für den Verstoß. “ In der Stellungnahme heißt es außerdem: „Als Vorbereitung und bewährte Verfahren sollten Anwälte in Betracht ziehen, proaktiv einen Plan zur Reaktion auf Vorfälle mit spezifischen Plänen und Verfahren für die Reaktion auf einen Datenverstoß zu entwickeln.“

Zusätzlich zu den ethischen Verpflichtungen des Berufs sind Anwälte und Kanzleien natürlich auch an alle geltenden staatlichen und bundesstaatlichen Gesetze zur Informationssicherheit und zu Datenschutzverletzungen gebunden – ein Punkt, der in der Stellungnahme 483 ausdrücklich anerkannt wird. Die gesetzgeberische Aufmerksamkeit in diesem Bereich ist weit verbreitet Dies geht aus dem von New York im Jahr 2019 erlassenen Gesetz „Stop Hacks and Improve Electronic Data Security“ („SHEILD“) und dem im Januar 2020 in Kraft getretenen California Consumer Privacy Act (CCPA) hervor.

Interessanterweise wurden die Antworten auf die Umfrage 2020 zwischen März und Mai 2020 gesammelt – eine Zeit, in der viele persönlich und beruflich erstmals unter den Auswirkungen von COVID-19 litten. Während dieser Zeit schlossen zahlreiche Anwaltskanzleien Büros und verlegten alle Mitarbeiter in virtuelle, entfernte Arbeitsumgebungen. Die ABA hob die erhöhten Cybersicherheitsrisiken im März 2020 auf verschiedene Weise hervor, einschließlich eines Webinars zum Thema Remote-Arbeiten in einer Zeit von COVID-19: Cybersicherheitsprobleme, die Sie kennen müssen, und Diskussion in Artikeln wie „Experten warnen Anwälte vor Cyber-Risiken für Remote Arbeit.”

Es überrascht nicht, dass sich die verstärkten Bedenken als berechtigt erwiesen haben. Die Berichte über böswillige Aktivitäten nahmen in allen Lebensbereichen, einschließlich der Anwaltschaft, erheblich zu. Ein prominentes Beispiel ist der weit verbreitete Ransomware-Angriff auf die Anwaltskanzlei Grubman Shire Meiselas & Sacks, zu deren Kunden zahlreiche hochkarätige Prominente gehören. Zum jetzigen Zeitpunkt deuten Berichte darauf hin, dass das Unternehmen Zahlungsaufforderungen zurückgewiesen hat und der Gefahr ausgesetzt ist, dass vertrauliche Kundendaten im Sommer 2020 versteigert werden.

Trotz der ethischen Probleme und anstehenden Herausforderungen zeigen die Ergebnisse der Umfrage 2020, dass der Einsatz bestimmter Sicherheitstools bei weniger als der Hälfte der Befragten bleibt. Beispielsweise verwenden 43% der Befragten die Dateiverschlüsselung, 39% die E-Mail-Verschlüsselung und 26% die Verschlüsselung der gesamten / vollständigen Festplatte. Andere Sicherheitstools, die von weniger als 50% der Befragten verwendet werden, sind Zwei-Faktor-Authentifizierung (39%), Intrusion Prevention (29%), Intrusion Detection (29%), Remote-Geräteverwaltung und -löschung (28%), Gerätewiederherstellung (27%) ), Webfilterung (26%), Mitarbeiterüberwachung (23%) und biometrische Anmeldung (12%).

Im Gegensatz zur anhaltend langsamen Einführung von Sicherheitstools weisen die diesjährigen Ergebnisse auf eine zunehmende Anzahl von Unternehmen hin, die sich zu Cyber-Haftpflichtversicherungen verpflichten – 36% Prozent der Befragten, verglichen mit 33% im Jahr 2019, 34% Prozent im Jahr 2018 und 26% Unternehmen mit einer Größe von 10 bis 49 Anwälten verfügen höchstwahrscheinlich über eine Cyber-Haftpflichtversicherung (40%), dicht gefolgt von Unternehmen mit mehr als 100 Anwälten (38%). Ein bemerkenswerter Trend ist der Anstieg der Anzahl kleinerer Unternehmen mit einer solchen Abdeckung, wobei Unternehmen mit 2 bis 9 Anwälten (36%) und Einzelanwälten (33%) seit 2017 von 27% bzw. 19% gestiegen sind.

Da das ethische Gebot der Sicherheit sehr klar ist, das Bedrohungsumfeld ausgeprägt ist und der Einsatz von Sicherheitstools nicht weit verbreitet ist, ist ein offensichtlicher Trend, der in der Umfrage 2020 aufgezeigt wurde, das Bestreben des Berufs, das Risiko durch Versicherungen zu decken. Natürlich ist es für Unternehmen ratsam, Richtlinien einzurichten, aber eine Richtlinie ist nur eine Komponente eines angemessenen umfassenden, risikobasierten Sicherheitsprogramms und bietet selbst weder Schutz vor Angriffen noch eine Garantie für die tatsächliche Abdeckung. Die Verantwortlichkeiten und Herausforderungen könnten nicht klarer sein – und der Beruf braucht mehr Aufmerksamkeit für die Themen, die über lediglich erhöhte Versicherungskäufe hinausgehen.

Incident Awareness

Die Ergebnisse der Umfrage 2020 zeigen, dass die Anzahl der Unternehmen, bei denen eine Sicherheitsverletzung auftritt (z. B. ein verlorener / gestohlener Computer oder ein Smartphone, ein Hacker, ein Einbruch oder ein Website-Exploit), gegenüber dem Vorjahr gestiegen ist. 29% der Befragten gegenüber 26% im Jahr 2019.

Die Zahl der Befragten, die weiterhin angeben, nicht zu wissen, ob in ihrem Unternehmen jemals eine Sicherheitsverletzung aufgetreten ist, ist mit 21% weiterhin hoch, verglichen mit 19% im Vorjahr. Wie in der Vergangenheit, je größer die Kanzlei, desto mehr Prozent derjenigen, die nicht wissen, ob ihre Kanzleien jemals einen Verstoß erlitten haben (1% der alleinstehenden Befragten; 9% der Kanzleien mit 2 bis 9 Anwälten; 28% der Kanzleien mit 10 bis 49 Anwälten) Anwälte; 62% der Kanzleien mit mehr als 100 Anwälten).

Die gemeldeten Folgen von Sicherheitsvorfällen zeigten einige interessante Trends. Beispielsweise gaben nur 32% der Befragten an, Beratungsgebühren für Reparaturen zu erheben (gegenüber 37% im Jahr 2019 und 40% im Jahr 2018). In ähnlicher Weise zeigt sich ein Abwärtstrend bei der Anzahl der Befragten, die Ausfallzeiten / Verlust abrechnungsfähiger Stunden bei 34% (gegenüber 35% im Jahr 2019 und 41% im Jahr 2018) sowie bei der Zerstörung oder dem Verlust von Dateien (11% gegenüber 15) melden % im Jahr 2019).

Im Gegensatz dazu wurden Aufwärtstrends im Zusammenhang mit den Kosten für den Austausch von Hardware oder Software (28% gegenüber 20% im Jahr 2019), die Benachrichtigung der Strafverfolgungsbehörden über Verstöße (14% gegenüber 9% im Jahr 2019) und die Benachrichtigung der Kunden über den Verstoß ( 11% gegenüber 9% im Jahr 2019), unbefugter Zugriff auf nicht kundensensible Daten (7% gegenüber 4% im Jahr 2019) und unbefugter Zugriff auf vertrauliche Kundendaten (8% gegenüber 3% im Jahr 2019).

Beim Thema Viren, Spyware und Malware stimmen die Ergebnisse in zwei Bereichen mit 2019 überein: 36% der Befragten hatten Systeme infiziert, und 26% wussten erneut nicht, ob jemals eine solche Infektion aufgetreten ist. Die Größe eines Unternehmens wirkt sich weiterhin auf den Bekanntheitsgrad der Befragten aus: Nur 4% der Befragten geben an, dass sie es nicht wissen (gegenüber 7% im Jahr 2019), während der Prozentsatz 15% der Befragten in Unternehmen mit 2 Personen beträgt. 9 Anwälte (wie 2019), 39% der Anwälte in Kanzleien mit 10 bis 49 Anwälten (gegenüber 30% im Jahr 2019) und 57% der Anwälte in Kanzleien mit mehr als 100 Anwälten (gegenüber 58% im Jahr 2019).

Auf die Frage, welche Geschäftsverluste / -verletzungen durch einen Viren-, Spyware- oder Malware-Angriff verursacht wurden, gaben 70% der Befragten an, dass keine wesentlichen Geschäftsstörungen oder -verluste aufgetreten sind. Diese Reaktion setzt den Aufwärtstrend der letzten Jahre fort (60% im Jahr 2019, 62% im Jahr 2018 und 61% im Jahr 2017). Der Trend ahmt die Reaktion der Befragten nach, bei denen eine Sicherheitsverletzung aufgetreten ist. 67% gaben an, dass keine wesentlichen Geschäftsstörungen oder -verluste aufgetreten sind (gegenüber 65% in den Jahren 2019 und 2018 und 62% in 2017). Bei der Überprüfung dieser Ergebnisse ist es nur natürlich zu fragen, ob die scheinbar positiven Trends kurzfristig ein beunruhigendes falsches Gefühl des Wohlbefindens widerspiegeln, wenn die Aussicht auf einen potenziell längerfristigen Schaden besteht.

Zu den Folgen, die von den Befragten aufgrund einer Virus-, Spyware- oder Malware-Infektion festgestellt wurden, gehören Kosten für Beratungsgebühren für Reparaturen (39%), Ausfallzeiten / Verlust abrechnungsfähiger Stunden (35%), vorübergehender Verlust des Netzwerkzugriffs (23%) und vorübergehender Verlust des Website-Zugriffs (10%) und des Austauschs von Hardware / Software (17%). Alle diese Arten von Konsequenzen sind leicht erkennbar, während andere nachteilige Konsequenzen unbemerkt bleiben können.

Pläne zur Reaktion auf Vorfälle

Die Antwort der Umfrage 2020 zeigt eine kontinuierliche Verbesserung des Themas der Entwicklung von Notfallplänen. 34% der Befragten gaben an, dass ihre Unternehmen einen solchen Plan beibehalten haben, gegenüber 31% im Jahr 2019 und 25% im Jahr 2018. Die Wahrscheinlichkeit, dass ein Unternehmen einen hat, bleibt a Funktion der Unternehmensgröße. So gaben 77% der Befragten von Unternehmen mit mehr als 100 Anwälten an, dass ihre Unternehmen einen Plan zur Reaktion auf Vorfälle haben (gegenüber 65% im Jahr 2019), 38% der Befragten aus Unternehmen mit 10 bis 49 Jahren (gegenüber 35% im Jahr 2019), 23 % der Befragten aus Unternehmen mit 2 bis 9 Jahren (gegenüber 19% im Jahr 2019) und 14% der Alleinbefragten (gegenüber 11%).

Notfallpläne bleiben ein kritisches Element jedes Informationssicherheitsprogramms. Die obigen Ergebnisse zeigen deutlich eine erweiterte Übernahme von Notfallplänen. Es bleibt jedoch noch Verbesserungspotenzial. Das LTRC führt seit fast drei Jahrzehnten eine Form des Legal Technology Survey Report durch. Wie lange wird es dauern, bis jedes Unternehmen einen grundlegenden Plan zur Reaktion auf Vorfälle erstellt hat? Die Fortschritte haben sich in die richtige Richtung entwickelt, aber das Tempo ist angesichts der zuvor diskutierten ethischen und rechtlichen Fragen sowie des erhöhten Bedrohungsumfelds eiskalt. Die Stellungnahme 483 sollte ein Ausgangspunkt für jedes Unternehmen sein, das sich mit diesem Thema befasst.

Fazit

Die Umfrage 2020 spiegelt weitgehend die schrittweisen Fortschritte in Bereichen wider, die für eine angemessene Sicherheit von grundlegender Bedeutung sind, und zwar in einem Zeitalter, in dem eine wesentlich robustere Reaktion des Berufs auf die anstehenden Herausforderungen erforderlich ist. Die Bilanz des Jahres ist eine hervorragende Gelegenheit für Unternehmen, die Fragen, die in der Umfrage 2021 im kommenden März gestellt werden, vorwegzunehmen und jetzt geeignete Maßnahmen zu ergreifen.

In der Zwischenzeit haben sich einige Impulse für die Verbesserung des Tempos des Wandels in diesem Bereich ergeben: die Genehmigung eines Berichts des Ausschusses für Technologie und Anwaltschaft durch die New York State Bar Association im Juni 2020, in dem empfohlen wird, einen Kredit für die obligatorische juristische Weiterbildung in Ethik der Cybersicherheit gewidmet sein. Im Falle einer Genehmigung würde New York zwei anderen Bundesstaaten (Florida und North Carolina) beitreten, die eine Technologiekomponente im Rahmen von Fortbildungsprogrammen für Rechtswissenschaftler benötigen, wie von Bob Ambrogi verfolgt. Obwohl diese Entwicklung bemerkenswert ist, müssen Fachkräfte nicht darauf warten, dass der Beruf die Ausbildung beauftragt – alle Informationen, die zum Handeln erforderlich sind, sind jetzt verfügbar. Und so wie eine Versicherungspolice einen Hack nicht verhindert, wird auch ein Kurs dies nicht verhindern. Letztendlich müssen Fachleute in Unternehmen jeder Größe gute Cybersicherheitspraktiken in die alltägliche Rechtspraxis integrieren.

Sehen Sie sich ein Video unserer Sponsoren an!

Comments are closed.