Ransomware desde la perspectiva de su abogado


Tres buenas razones por las cuales la primera llamada de su equipo de respuesta a incidentes después de una violación de datos debe ser a un abogado externo.

Muchos equipos de operaciones cibernéticas se sorprenden de que, como asesor externo, me preocupe por el ransomware. Hacen preguntas como: ¿Por qué a los abogados les importaría que nuestros sistemas estén bloqueados en su lugar? Y, ¿por qué tendríamos que avisar a los consumidores o empleados en un evento de ransomware?

La razón es porque los estatutos de violación de datos no se distinguen en función de los tipos de eventos cibernéticos, y a menudo me veo tratando de reconstruir si la notificación es legalmente requerida en función de la escasa evidencia de lo que puede o no haber salido de la crimson. No solo eso, sino que puede surgir una responsabilidad adicional dependiendo de la industria. Como abogado, mi trabajo es navegar y mitigar esos riesgos en nombre del cliente. Esto es lo que he aprendido:

1) Lo que sucede en las primeras horas después de descubrir el ransomware es fundamental para mi análisis authorized. Cuando recibo la llamada, la primera pregunta que siempre hago es: ¿Hemos conservado los registros? Ya sea que haya o no un agregador de registros, es increíblemente importante comenzar a extraer la información de registro de cada ubicación para que pueda analizarse en busca de tráfico malicioso. Este análisis de tráfico, ya sea que los datos hayan salido de la crimson, es elementary para el análisis authorized que determina si la empresa debe notificar o no a los consumidores, empleados o reguladores.

Si la información de identificación private abandonó el sistema, la compañía está obligada bajo una miríada de estatutos estatales a notificar a las personas afectadas. Ese reloj de aviso es de 72 horas para hacer ciertas notificaciones en Europa bajo el Reglamento Typical de Protección de Datos. La definición de información de identificación personal varía enormemente según el estado o la regulación afectada. Como abogado, mis primeras preguntas se centran en si los datos abandonaron la pink. Si así fuera, mis próximas preguntas en las próximas horas comenzarán girando en torno a cómo reconstruimos los datos que quedan o si se accedió a ellos en la purple. Pero el primer paso es asegurarse de que tenemos la evidencia para hacer ese análisis legal. Sin registros, me quedan pruebas circunstanciales, una frase lawful elegante que significa inferencias, para hacer una llamada sobre si se debe dar aviso. No es best y requiere mucha experiencia authorized para llegar a una conclusión defendible.

2. ¿Negociamos con los ciber terroristas? Incluso con una copia de seguridad, a veces el evento es tan catastrófico que la línea de tiempo para restaurar desde la copia de seguridad no es great. O tal vez aprenda que la copia de seguridad que creía que se estaba haciendo no se estaba haciendo realmente. En un evento de ransomware, inevitablemente la conversación cambiará a la consideración de involucrarse con los atacantes y posiblemente pagar un rescate. Como asesor cibernético externo, he encontrado que nunca debes decir nunca a ningún escenario, aunque hasta la fecha no he pagado un rescate. Pero tener una billetera bitcoin preparada en caso de que necesite pagar un rescate siempre es una buena plan. Al menos, entonces no está desperdiciando preciosos días esperando el análisis KYC (conozca a su cliente) para financiar la billetera y realizar un pago.

Según mi experiencia, la policía no alentará ni desalentará el compromiso con los ciberdelincuentes. Esa es una pregunta que se deja solo a la empresa o municipio. Además, los rescates son cada vez mayores, no 3 Bitcoin, sino 30. Con un descuento ofrecido por un pago rápido, incluso los delincuentes están sufriendo una pandemia international y la consiguiente crisis económica. Cualquiera sea el caso, el compromiso con los ciberdelincuentes debe hacerse con delicadeza y con la participación de un abogado.

3. Esté preparado para trabajar con las fuerzas del orden y saber a quién contratar. He tenido el placer de relacionarme con varias agencias federales, investigadores federales e investigadores estatales. En algunos casos, en función de su industria, es posible que no tenga la opción de participar o no en la aplicación de la ley. En otros, esa es una llamada que debe dejar que haga su abogado externo. Incluso en eventos de ransomware, puede ser beneficioso trabajar con la policía, pero necesita saber a qué entidad llamar. Hacer una llamada a su oficina area del FBI puede ser beneficioso, pero colaborar directamente con la unidad de delitos cibernéticos del FBI puede agilizar su contacto con la oficina del FBI a cargo de atender las consultas de ransomware basadas en esa variante. Recientemente trabajé en el primer caso de la Pysa en los Estados Unidos como abogado externo. Conocer las reglas de compromiso con las fuerzas del orden y con quién comunicarse puede ayudarlo a descubrir si existen herramientas de descifrado conocidas para esa variante en individual.

Al igual que cualquier evento cibernético, con ransomware, la primera llamada de su equipo de respuesta a incidentes debe ser a un asesor externo. Como asesores, nuestro trabajo es ayudar a poner orden en el caos, pero principalmente a través de las responsabilidades legales y los riesgos asociados con el evento cibernético.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Beth Burgin Waller es una abogada que sabe cómo navegar entre la sala de servidores y la sala de juntas. Como presidenta de la práctica de ciberseguridad y privacidad de datos en Woods Rogers, asesora a clientes sobre ciberseguridad y preocupaciones sobre privacidad de datos. En esta capacidad, ella … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia unique