В конце прошлого года крупные медицинские страховые компании были застигнуты врасплох. Оказывается, существует огромный черный рынок информации о медицинском страховании. Premera Blue Cross не была готова к кибератаке, от которой пострадали 11 миллионов их клиентов. Страховая компания Anthem в феврале подверглась нападению, от которого, возможно, пострадало более 78 миллионов человек. Затем в Community Health Systems произошла утечка, которая могла поставить под угрозу личные данные 4,5 миллионов пациентов.

ФБР предупреждает, что хакеры получают большие деньги за интеллектуальную собственность и данные клиентов. Например, взлом Anthem, вероятно, раскрыл имена, номера социального страхования, дни рождения, адреса, электронную почту и информацию о занятости, включая данные о доходах, миллионов клиентов.

Угадайте, какая еще отрасль имеет тенденцию хранить интеллектуальную собственность и тонны личных данных?

Возьмите среднестатистическую фирму, которая проходит среднюю проверку документов . Правила хранения данных означают, что ESI вышла из-под контроля . Судья окружного суда Джеймс Д. Виттемор счел разумную плату в размере 3,1 миллиона долларов для поставщика электронных документов за обработку и размещение 2,7 миллиона документов в деле о профессиональной халатности в 2013 году. Электронное открытие составило 10% от общей стоимости дела. Согласно одному исследованию 2012 года, открытие часто составляет 20% от общей стоимости дела.

Думаете, все эти данные могут быть где-то ценны для кого-то?

В мае прошлого года большое жюри Западного округа Пенсильвании предъявило обвинение пятерым китайским военным хакерам в адресном фишинге компании AmLaw 100, которая представляла американскую компанию по производству солнечных панелей с использованием китайского поставщика. В феврале прошлого года поставщик крупной юридической фирмы был взломан, и были раскрыты личные данные нынешних и бывших сотрудников, включая налоговую информацию, номера социального страхования, паспортные данные и другие федеральные данные. А в прошлом году китайское правительство якобы взломало несколько канадских юридических фирм в попытке сорвать многомиллиардную корпоративную продажу.

Страховая брокерская компания Marsh, занимающаяся управлением рисками, в 2014 году опросила 50 фирм на предмет их практики кибербезопасности. Они обнаружили, что:

• Кибербезопасность и конфиденциальность были среди 10 основных рисков для 79% респондентов.
• 72% не оценили, сколько, вероятно, будет стоить утечка данных

Итак, какие шаги вы можете предпринять, чтобы снизить риск кибератаки для себя и своих клиентов? Вот три вещи, которые необходимо сделать.

1. Получите страховку от киберрисков.

Опрос Марша также показал, что 51% респондентов заявили, что их юридические фирмы либо не приняли мер по страхованию их киберрисков (41%), либо не знают (10%), приняла ли их фирма меры. Страхование киберрисков - это разумный шаг не только для защиты в случае серьезного нарушения: страховщики также оценят, где ваша компания находится в опасности, и помогут вам разработать передовые методы безопасности.

По данным Американской коллегии адвокатов, страхование кибер-ответственности впервые появилось в 1998 году. Но оно не начало набирать обороты до 2003 года, когда юридические лица, уполномоченные Калифорнией, хранят личные данные о жителях штата, чтобы уведомлять о доступе к определенной информации без разрешения. Сегодня такие законы действуют в 46 штатах.

Стив Флетчер написал в Law Technology News, что сегодня фирмы должны управлять рисками и соблюдать «утвержденные на федеральном уровне (а теперь уже соблюдаемые) правила в отношении конфиденциальности и личной медицинской информации». А Мэтью Голдштейн предупредил в New York Times, что финансовые регуляторы начинают требовать кибер-бдительности от поставщиков, на которых полагаются банки, таких как юридические фирмы.

Американская коллегия адвокатов считает, что страхование кибер-ответственности необходимо для компаний. Дженнифер А. Кафлин, советник по урегулированию претензий по облигациям и финансовым продуктам в Travelers Insurance, объяснила, что это необходимо фирмам, «потому что данные не считаются материальным имуществом и поэтому исключаются из покрытия общих страховых полисов».

2. Зашифруйте электронную почту и используйте клиентский портал.

В длинном списке бессмысленных вещей один - это то, что электронная почта по умолчанию не зашифрована. Между этим и тем, насколько легко пересылать и скрывать, это главное слабое место в кибер-броне многих фирм. Роберт Амброджи описывает шифрование электронной почты как «незаменимый инструмент для юристов». Virtru - одно из самых простых решений для шифрования писем и их файлов. Но для этого требуется согласие обеих сторон.

Файлы также должны быть зашифрованы. Сэм Гловер из адвоката обеспокоен всеми этими незашифрованными данными. «Если вы не шифруете файлы, теряете ли вы сон, беспокоясь о потере портативного компьютера, заполненного клиентскими данными? В противном случае вам следует ». Дерек Болен из Clio соглашается. «Зашифруйте ваши локально хранящиеся клиентские файлы», - советует он.

Лучше всего общаться с клиентами через клиентский портал. Многие программные продукты для управления юридической практикой предлагают клиентский портал, и большинство из них по умолчанию зашифрованы. Помимо шифрования, обмен данными и файлы на клиентском портале более безопасны, потому что их труднее передать. Кроме того, пока учетные данные не передаются, другие люди не могут получить к ним доступ без ведома и разрешения фирмы.

Также важна двухэтапная проверка вашей электронной почты и клиентского портала. «Двухфакторная аутентификация является ключевым моментом», - написала в Twitter Николь Блэк, директор по развитию бизнеса и связям с общественностью. Блэк также советует фирмам тщательно исследовать поставщиков ». MyCase предлагает двухфакторную аутентификацию в качестве дополнительной функции, как и Clio и Time Matters .

3. Мобильная безопасность

Вредоносное ПО, безусловно, является проблемой для мобильных устройств. В последние проблемы Установок приложений в фоновом режиме. Но чаще всего проблемы начинаются, когда смартфон утерян или украден. После этого получить доступ к данным не так уж и сложно. По мере того как юристы выполняют все больше и больше легальных операций на своих мобильных устройствах, эти устройства становятся все более ценными для кражи.

И снова клиентский портал, доступный для мобильных устройств, - отличная идея. По крайней мере, предположите, что ваши адвокаты и клиенты ведут дела со своих телефонов, и планируйте соответственно. Это хорошая идея, чтобы все поверенные защищали паролем свои телефоны и соответствующие приложения.

Говоря о паролях, Болен из Clio советует компаниям постоянно использовать надежные пароли в сочетании с утилитой управления паролями. Пароли следует менять регулярно, и в идеале они должны состоять из случайного набора цифр, прописных и строчных букв и символов.

Вывод

Хакеры хотят, чтобы вы (r данные).

Включение шифрования, двухфакторной аутентификации и страхование киберрисков не снизит ваш уровень риска до нуля, но снизит его, и позволит вам восстановиться после взлома.

Каковы ваши текущие методы защиты данных? Дайте нам знать об этом в комментариях!