*于2019年2月23日更新–我们最初说的是,根据ILTA的2017年技术调查,律师事务所的营业额占技术营业额的1-3.99%,但该数字来自2016年报告。

The days of law firms needing to be reminded of the importance of investing in appropriate cybersecurity solutions or how much of a target they are have long gone, but greater awareness has not been matched by greater clarity over how much is ‘enough’, 什么时候 the risks are sky high, but the budget is finite.

在与埃森哲(Accenture)共同主持的圆桌讨论中,律解网 Insider汇集了来自包括Dentons在内的多家公司的少数知名CIO或COO。贝克·麦坚时;克莱德&Co;赫伯特·史密斯·弗里希尔斯(Herbert Smith Freehills)和阿瑟斯特(Ahurst)讨论当今法律行业面临的一些最大的安全问题,并获取法律行业网络基准测试所需的数据点信息。我们很荣幸参加了会议,埃森哲全球安全负责人Kelly Bissell(如图)在我们聚会之前与GCHQ负责人,国家网络安全中心负责人和前任主席共进晚餐MI5和MI6的负责人。

Dentons的全球CIO Marcel Henri在讨论之初就提出了一些目标。’我已经在丹顿(Dentons)工作了将近18年,并且在那段时间显然发生了很多变化。目前,在Dentons,我们在全球拥有约15,000名律师,这不可避免地带来了挑战和机遇,尤其是从安全和数据隐私的角度而言。我什么’d今天想摆脱某种记分卡或评级,并具有一些基线要求,以便我们可以评估安全平台的复杂程度和成熟度。”

HSF的CIO Haig Tyler表示:“对我来说,这回到了一个事实,那就是我们需要一个足够好的技术运营基准。在管理基础结构安全性方面,这些事情定义得很好。但是整个推向云端的地方是’d希望我们能够定义一些更舒适的基准,基准和方法。”

Leading cyber solutions and employees such as chief information security officers (CISOs) do not come cheap – why would they in the current environment? But for CIOs trying to convince their boards to raise levels of investment it isn’t easy and the focus has shifted from building castle walls to how to prevent or pick up the pieces 什么时候 the next member of staff falls for a phishing attack.

在Ashurst,即将离任的全球IT主管Bruna Pellici说:“ [Cyber​​]不’t come cheap: it’s expensive and how do we fix the gaps with technology 什么时候 people are still your weakest link?”

虽然律师是地球上最聪明的人之一,但众所周知,许多人毫不妥协,并且仍然需要在安全考虑之前迅速采取行动。克莱德全球首席信息官克里斯·怀特(Chris White)&Co说:“与律师合作总是让我着迷的是,他们一生都在使用高度机密的资料,如果有人应该了解资料的性质和价值,’是他们,但往往他们没有相应地采取行动。”

尽管有这样的事实,律师事务所被视为英国PLC的软肋。埃森哲安全业务部常务董事Rick Hemsley向Bissell汇报说:“最终,我们着眼于供应链:组织周围的生态系统成为攻击的根源。如果我想攻击石油巨头或制药公司以获取市场敏感数据,我会攻击律师事务所,因为与攻击组织本身相比,这通常要简单得多。”

像DLA Piper一样,律师事务所已经公开卷入全面的网络攻击,或者像巴拿马文件那样遭受泄密,最终导致Mossack Fonseca垮台–在这种情况下,唯一的意外是它是如此长。

Hogan Lovells的副首席信息官Gareth Ash说:“在DLA中,这是法律界对我们所有人的一次警钟,因为这是您第一次’我们已经看到律师事务所遍布在首页和BBC网站的首页上。对我来说’不只是一个问题‘if’ but ‘when’,因此不仅要保卫外围,还可以多快地发现一些东西。如果您受到打击,则要确保自己已尽力保护自己。”

This is made no easier 什么时候 client demands, which often force a certain discipline on an industry, are inconsistent. Simon Thompson, COO at Baker McKenzie said: “I’我曾在许多律师事务所咨询和工作过,有时我们不会使用云服务,因为客户说我们可以 ’t。但是随后您去了另一家律师事务所,他们使用云服务,但是拥有相同的客户组。”

客户端

信息安全始于客户,这应该是对适当风险参数进行任何评估的中心。

佩里奇说:“您需要了解您正在处理的信息类型以及所从事的市场,并考虑企业的风险承受能力。您需要考虑风险承受能力,以及如何通过适当组合技术,策略和程序来实现相关环境,治理是关键。信息安全不是’只是关于技术。”

Hemsley补充说:“根据我的经验,律师事务所的容忍度必须与与其合作的业务和客户保持一致。”

The fact that clients send mixed messages means that one law firm’s interpretation can be vastly different to another, particularly 什么时候 it comes to cloud services, and Thompson adds: “What I’m genuinely confused about is that two global law firms can come up with two sets of answers to the same question.”

Clients may refuse to entertain the idea of a law firm providing a cloud-based service 什么时候 they themselves are ‘in the cloud’.

贝塞尔说:“我们不仅有自己的内部风险承受能力,我们的客户也有,而且有时客户确实有双重标准。因为他们对第三方的风险承受能力与其对自己的承受能力不同。”

怀旧的沟通可以克服一些障碍,怀特说:“其中很多都取决于您与客户的关系。有些政府部门要求您在每个方框中打勾,否则会赢’跟你打交道。我一次又一次地遇到过,客户在哪里要东西,你可以’勾选该方框,但您可以与他们进行讨论。他们感兴趣的是,您以专业的方式考虑了网络安全,并且’不要掉以轻心。所以,如果他们说“您是否获得ISO认证”我们说我们不是,我们可以说,‘但是,这就是我们正在做的”然后他们感到满意。所以,我认为’经常被当作借口。”

怀特补充说:“ CIO也需要更加强大。如果有人来告诉我我们不能去云端,我解释说去云端和引入其他服务没有什么不同’d非常有力地指出,在许多情况下,’s more secure.”

成本

尽管花在网络上的费用必须与总体预算成比例,但现在由于支出不足而产生了巨大的成本。亨利说:“’不仅仅是这样做的成本,’不这样做的代价。我们可以 ’t低估了网络安全的市场价值。一世’确保每个人都花费大量时间与客户交谈。我们’所有这些都是针对同一面板的,根据我的经验,GC现在都希望谈论两件事:可预测的和安全性。它’不仅仅是多少就够了。如果做得不好,就不会赢得生意,’将会失去生意。”

Bissell专门研究违规事件响应以及隐私和数据保护,他说:“这在市场上是一个巨大的挑战,因为如果您是一家大银行,他们将花费10亿美元用于安全性,而没有律师事务所会这样做。 。”

根据ILTA的2016 *技术调查,律师事务所的营业额占技术营业额的1-3.99%,但魔术圈和大型全球律师事务所的营业额通常约为4.5-5%,与其他行业和部门相比较高。

汉姆斯利说:“在消费品领域,这一比例约为2%。”

对于该预算,来自网络的竞争越来越激烈,Bissell说:“我想提供几个百分比的范围,因为如果您是一家只从事文书工作的律师事务所,那么电子化就不会– that doesn’t存在但有争论’s sake – you don’不需要太多的网络安全技术。但是如果你’就像我们大多数人一样,几乎都是电子化的律师事务所,那么您应该花费一定百分比作为IT支出的一部分。我会提供的范围是’ve got nothing you’要花很多钱追赶,那’在您的IT支出的10%到15%甚至20%的范围内,这是巨大的。如果你’您的安全性已经很成熟了,那么它会低于3%到5%的范围,但这只是准则,因为每个人都不一样。”

泰勒说:“’必须视情况而定,如何增加支出。您可以随意旋转数字,百分比和基准,然后阅读任何Gartner论文。我只是在想我们’现在就回想一下,想一想我们现在投入修补工作的水平,这可能比四,五年前的水平有了大的飞跃。然后将所有这些总目和外包合同乘以所有这些,’重新支付额外费用,因为您’重新定期打补丁,除了安全成本外,还有全部成本。”

其他显着增加的成本包括在许多公司内部任命专门的CISO并进行背景调查,直到最近法律界才发现这种情况。

亨利说:安全支出分为三个不同的预算。那里’网络预算。合规预算有风险。今年,我们任命了一名全球安全官员,负责旅行安全和人身安全。我们’重新投资我们没有的背景调查’t done previously –我们在招聘合适的人吗?我们正在雇用有犯罪记录的人吗?”

“不执行检查仍然很常见吗?”比塞尔问。汤普森说:“它变得越来越普遍。”

灰补充说:“它’也出现在客户审核中。客户询问了全世界的律师和职员。您可以’不能在某些国家/地区进行全面的背景调查,但律师必须通过律师资格。”

内部威胁

Even 什么时候 staff are thoroughly vetted, that is no guarantee that behaviour won’t slip.

阿什说:“这种认识比以前要好得多,但是生产线上的合伙人和合伙人只是想完成交易,’s如果向他们的Gmail发送电子邮件,可能会带来风险;它’不一定是恶意的。”

生活压力也意味着正常人会表现不良,比塞尔说:“人们做坏事的主要驱动力之一是婚姻和财务困境的压力。–他们会做通常不会做的事情。”

内幕交易案例激增:最著名的案例之一发生在Foley&拉德纳(Lardner),前合伙人沃尔特·切特·利特尔(Walter“ Chet” Little)在那儿因内幕交易而被判处27个月监禁,因为他从尚未公开的公司公告中获利。

汉姆斯利说:“关于内部人风险与外部威胁的一些重要统计数据,在我参加的一次会议上提出的其中一项统计是,有56%的违规行为是由内部人恶意或意外引起的。人们不’通常会怀有恶意的意图加入组织,但是压力会驱动行为’我们有责任在组织中采取正确的文化行为,以认识到我们认为发生这些风险的地方然后进行干预,因为如果您在那时进行干预,则可以最大程度地减少发生不幸事件的机会。了解内部人员的行为方式。训练你的人,修补你的东西’重新做,并观察您的员工在做什么。”

从建造城堡的城墙到观察人们在内部的行为发生了真正的转变,Ash说:“重点已经转移到内部威胁产品上,因为有人可以进入或已经进入,这取决于我们迅速发现这些东西,我们’当然可以在这个领域寻找更多的投资。

“不同之处在于,在其他部门,您可以强制执行许多任务并将其锁定,这在专业服务公司中是一个挑战,因为超过50%的公司是律师,他们需要能够与客户进行交易。”

悲观的安全

Law firms are still deeply divided 什么时候 it comes to whether they have to lock down their document management system internally, including a certain amount of division within our roundtable.

亨利(Henri)从2016年开始限制访问DMS,他说:’我不确定我们有什么选择。那里’s a metaphor I’在过去的几个月中使用了’很难进入城堡,但是一旦你’re in it’是一家酒店,您可以在大厅四处游荡,但是一旦进入,就只能进入有钥匙的房间。您的出版物中有一篇文章是悲观的安全性,我认为所有公司都必须走这条路。”

法律IT内幕人士于2016年首次提出所有律师事务所都必须采用悲观的安全模式的想法,这在很大程度上要归功于与Henri和(单独)iManage的对话。

当时,这个想法遭到了英国CIO的强烈抵制,但此后,英国排名前20位的律师事务所Bird&正如我们在2017年9月首次披露的那样,Bird是选择受限DMS方法的公司之一。

技术日新月异,您可以匿名获取和分享知识和经验。在这里,比塞尔(Bissell)为法律界以外的最佳实践提供了一些启示,尤其是在四大律师事务所中,他评论道:“审计事务所成功地做到了不违反客户机密但从这些数据中获得价值:四大银行在这方面做得特别好。

“使用数据分析技能说‘我们能看到跨部门或跨地区客户的数据趋势吗?他们让数据科学家而不是审核员来研究数据趋势。因此,这是专业服务和技术共同带来前所未有的价值的地方。”

亨利评论说:“我们’在两个不同的领域做它’不是万能药,但我们’re doing it in the credentials space so 什么时候 you’re pitching what’我们在球场上可以找到的专业知识和专业知识空间– 什么时候 you’大人们不要’不一定彼此了解,你可以’不仅要浏览公共文件,您还必须查看叙述和问题描述并使用机器学习。”

但是,许多律师事务所对这将对全球合作努力产生的影响感到不安,佩利奇说:“您必须研究律师的工作方式。我们正在努力在全球团队之间建立协同作用,如果需要的话,我们确实存在信息壁垒,但是您到底需要多少钱来控制事情呢?”

怀特补充说:“法律事务所基于知识共享,而随着您的成长和全球化,挑战在于伦敦的律师如何知道悉尼的律师在做什么,我们’不要一直在重新发明轮子。我们’在分享知识上投入了很多金钱,然后将其全部锁定。”

贝塞尔说:“这也已经解决了。麦肯锡在知识管理方面精湛,但可以保护客户的机密性。我确实相信,无论是某个行业的专家还是任何行业,知识管理和实践社区都可以解决。”

最佳实践

由于律师事务所急于评估行业之外的最佳实践,因此我们要求Bissell提供有关律师事务所应具备的一些最低限度网络实践和解决方案的指导。

“是的,我们可以打开潘多拉’盒子,”比塞尔说。 “因为律师事务所A的最佳做法可能与律师事务所B的最佳做法不同,它的确取决于您所拥有的东西,例如云还是不云以及此类事物。但我建议所有领先实践都应具备一些非常基本的基本要素,即:

  • 多重身份验证,不仅是用户ID和密码,而且甚至是频带外的多重身份验证,因此文本,手机或其他某种功能也是如此。

  • A controlled matter management function, document management, so that you know who has access and who doesn’t have access and then all that logging. I can’t tell you how many times I have seen clients that no logging is turned on.  So even 什么时候 something occurs, you don’t even know.

  • 我不会在很多防火墙或城堡上浪费很多时间。这实际上是我们必须进行的检测,我建议您提出十个且只有十个方案。意思是,我们要防止X发生。就像,我们希望阻止所有人下载所有内容。我只是编造东西,对不对?然后创建防护和侦探控件以防止这十件事。不做100个,只做10个,好吗?我可能想出的大概是十个。

知道对手是谁是关键,并且要了解风险,Bissell说:“攻击者有四种类型:

  • 有内幕。那就是律师试图做愚蠢的事情,即使那个人试图离开律师事务所并带走一堆客户。
  • 有一个民族国家,无论如何你都不会捍卫。也许您的目标客户是制药公司,该公司正在产生新的临床试验结果,而中国希望确切地知道该结果是什么,或者是新研究,您要提交的新知识产权,无论出现什么问题。

  • 有人在尝试做我们所谓的前跑。一家公司要上市,也许是他们的财务状况或M &他们想知道的活动,合资企业或您作为律师事务所所做的所有这些事情,以便他们可以在信息公开发布之前进行公开交易。再说一遍,这是最前沿的。

  • 然后,在他妈妈的地下室里仍然有那个黑客。它仍然发生。

他补充说:“而且我认为我们需要像一个坏的黑客一样思考这四种类型,并创建这些场景。”

10种情况

Hemsley补充说:“将您的方案从10个精简下来可以澄清思路,”他说:“上周我曾在CISO担任一个重要的重要政府部门的首席代表,他也很同意。我们已经有了十个方案,这就是每个项目,云或任何类型的项目都会遇到的问题,但是他说我们将其分解为五个,然后再分解为三个。因此,当他们开始谈论项目时,他们在每个白板的侧面都有固定的便条纸,这非常重要:这是三种最重要的情况,它们将使我们站在我们所不喜欢的报纸的最前面想要在前面。我们即将做的事情适合这些吗?大。然后是五个,然后是十。因此,他们采取了与该政府部门相同的方法。”

打补丁

传统上,补丁程序是律师事务所担心会破坏某些东西而不会立即采取的措施,但Bissell说,组织不再拥有这种奢侈:在与GCHQ,NCSC以及MI5和MI6的前负责人共进晚餐时,他说:所有人都同意,我们看到的大多数攻击仍然是基本攻击,例如未打补丁的系统。如果可以,我们最好将心态从补丁转移到‘you better patch now’即使冒着破坏事情的危险,我认为我们也必须这样做。”

记录中

公司还需要确保他们保存安全的日志,Hemsley说:“我多次’ve seen where there’一直是数据泄露事件,我们’一直致力于帮助组织解决该问题,以及它是否是云计算或是否在内部解决。记录日志,拥有安全日志并以一种您可以实际查询的方式进行存储是非常关键的。如果箱子上有原木,’被攻击的第一件事’我将作为一名黑客来清除该日志。因此,拥有正确的基础架构以了解漏洞。”

狩猎和信标

大量泄漏的数据可从网上获得,并且组织投资向埃森哲等公司付费以查找数据。 “我们称之为狩猎,”比塞尔说。 “我们在黑暗的网络内外寻找信息。”

但是,一种新兴的做法是“信标”,Bissell说:“我们应该关注一些东西,尤其是对于律师事务所来说,这是信标。您可以输入文档,知道该文档已离开您的企业,因此可以“打电话回家”。这是一种正在发生的先进且新兴的做法。”

网络即服务

为了获得最佳的网络系统和覆盖面,您需要花费大量的思考和潜在的无限成本,因此,市场正在朝着网络即服务的模式发展,这不足为奇。

贝塞尔说:“’市场之所以走下去,是因为不管您有多大,没有一家公司,JPMC或高盛,汇丰银行或巴克莱也没有一家公司可以单独解决问题。在我安全的28年中–其中很多之前‘cool’ –安全市场正在朝着这种共享服务模式发展,而不是外包。”

去年Ashurst签署了一项安全运营服务,Pellicci说:“他们的想法是,它们将帮助我们将不同的层面放在顶层,因为尽管我们拥有信息安全人员,’s not our area – it’s not a law firm’s area – and we don’没有能力使工具保持最新。”

网络即服务的论点也适用于云,在云中,微软和亚马逊等组织正投入数十亿美元进行安全安排,并雇用了最聪明的人。曾经被认为具有风险的东西被越来越多地认为比在房屋内更安全。

当被问及如何迁移到云以及是否更安全时,Bissell说:“在埃森哲,我们’在云计算中占80%。这取决于您要放置在云中的内容以及要保留在内部的内容。没有’一个食谱。我确实相信云更安全,但是云提供商之间存在一个主要问题: AWS; Google甚至认为它们不属于您的安全团队,因此需要更加积极地参与。他们没有风险,也没有责任,CIO和CISO需要他们提供更多信息,’现在市场上正在发生真正的转变。

“作为一个庞大的云用户和SI(系统集成商),我们保护云的方法非常庞大。我们要检查一份清单,以确保数据的安全性。我们有536个AWS桶,仅AWS。我们’是微软最大的云用户。通过清单很关键。您可以为一个应用程序执行此操作,然后跳过内容,然后出现漏洞。因此,拥有一种方法和清单至关重要。”

但是,数据隐私仍然是一个棘手的问题,泰勒说:“我认为或认为这些大公司在技术上更安全,’认为反对这一观点。回到某些客户或某些类型的客户对管辖权有非常明确的要求这一事实。他们有关于必须存储数据的声明。我们经常与他们进行讨论和辩论,而到了Chris之前,他们中的一些人将继续前进,但有一个顽固的人赢得了’t.”

文化

归根结底,网络计划的成败很大程度上不在于技术,而在于组织的人员和文化。

合作伙伴的文化可能很难抗衡,但正如怀特所描述的那样,首席信息官必须做到:“我们的游戏至上,掌控我们的命运。”他说:“如果可以的话’做出投资的商业案例’重新从事错误的工作。”

亨利说:“在天堂报纸等公司的帮助下,事情正在朝着正确的方向发展,现在确实是我们的时代,律师们正在认真倾听。一世’我举两个例子。我们的某些地区正在开展业务连续性的桌面练习,而我们与全球管理委员会进行了一次练习,这花了两个小时在一个房间里,’不久前发生过。

“另一个例子是我们已经投资了安全保健培训 SANS 。我们正在努力超越85%的合规性,现在,首席运营官已表示我们可以阻止赔偿。如果不是’t doing it they aren’不会得到报酬。”

施加罚款是最清晰的迹象,表明在参与度方面,网络不再是可选的。

埃森哲既涂胡萝卜也涂棍子。每个人都必须进行安全培训,埃森哲咨询公司(Accenture Consulting)董事总经理Paul Dillon说:“如果不这样做,您的评级将受到影响,这将直接影响企业的利润。”

汉姆斯利说:“除了训练,我们还使用胡萝卜。我们还提供人们可以添加到个人资料中的盾牌或徽章,以显示对信息安全的不同承诺。”

毫无疑问,网络攻击是当今组织面临的最大风险之一,但如果有的话,技术是轻而易举的事情:归根结底,这是您必须掌握的人员。

有关我们全新的CyLok网络就绪指数的详细信息,请发送电子邮件至cylok@liti.co.uk