行业新闻与博客

超过四分之一的律师事务所都经历过某种类型的数据泄露—这是您的律师事务所在面临网络或勒索软件攻击时需要知道的信息 

如果您认为自己的律师事务所的安全技术是最新的，则可能需要再考虑一下。纽约娱乐和媒体律师事务所 Grubman Shire Meiselas＆Sacks 是 高知名度客户法律代理新规范的  最新受害者。   

根据该律师事务所的律师 Allen Grubman 的说法：  

“尽管我们在最先进的技术安全方面进行了大量投资，但外国网络恐怖分子入侵了我们的网络，并  索要 4200 万美元的赎金。”   

律师事务所由于代表客户存储的数据的敏感性，特别容易受到这些攻击。根据美国律师协会和美国司法部的资料，  所有律师事务所中有 25％遭受或经历过某种形式的涉及黑客的数据泄露事件。   

对企业进行勒索软件攻击的平均成本  为 133,000 美元。 根据 Emsisoft 的说法，勒索软件攻击的  成本在 2019年 超过  75 亿美元。面向计算机的犯罪涵盖各种行动，意图和目标，而且没有一家公司规模太大或太小而无法受到网络攻击的影响。这就是为什么律师事务所的网络安全如此重要的原因。 

那么，对律师事务所的勒索软件攻击有什么了解？如果您的公司发现自己面临如此严峻的形势，该怎么办？  

让我们将其散列出来。

勒索软件攻击如何发生？ 

让我们仔细看看勒索软件攻击是如何发生的。

黑客通常首先使用通过蛮力攻击解密的远程桌面协议凭据来访问您的服务器。如果不是通过蛮力攻击，众所周知，  黑客可以通过在网络犯罪市场上购买远程桌面协议（RDP）凭证来获得进入。 

在 COVID-19 大流行期间，   由于现在在家工作的员工数量达到创纪录的水平，对 RDP 服务器的暴力攻击数量急剧增加。攻击的增加主要是由于公司急于向其员工授予远程访问权限。远程访问工作站和服务器的需求不可避免地在公司的网络中造成了其他漏洞。 

2020年4月29日，美国国土安全部发布了  更新的 Microsoft 365 安全建议，其中强调了以下事实：许多组织都在急于“调整或更改其企业协作功能以满足“远程办公”要求”，而组织“可能不会充分考虑他们要迁移到的平台的安全配置。” 

黑客获得公司服务器的访问权限后，他们将映射目标网络，查找任何敏感的知识产权，客户文件，银行信息，社会保险号或其他用于标识的信息。   

在他们离开公司网络的途中，黑客将用勒索软件感染您的服务器。安装勒索软件的目的是迫使公司产生一笔钱，以换取客户特权数据的返还。  

在某些情况下，黑客要求两种赎金：一种是为了收回您的数据而支付的，另一种是为了销毁他们可能窃取的数据而支付的。这些类型的黑客攻击称为  迷宫攻击。几乎完全需要以比特币或某种其他类型的加密货币的形式要求以这种类型的黑客付款。 

2020年的 REvil 勒索软件攻击（到目前为止） 

代表 4200 万美元赎金的律师事务所网络安全图形

2020年5月，宣布 REvil 帮派（也称为 Sodin 和 Sodinokibi，这是一个勒索软件即服务（RaaS）运营）能够入侵 Grubman Shire Meiselas＆Sacks 的服务器并破坏法律公司的客户信息。这意味着 REvil 据称拥有来自纽约律师事务所数据库的  756GB 数据。 

黑客入侵损害了许多全球名人的特权法律合同，包括“国王”，勒布朗·詹姆斯，詹妮弗·洛佩兹和大卫·莱特曼。该公司还代表了 Facebook，Activision，HBO，Sony 和 Vice Media 等公司。被盗的数据包括机密合同，电话号码，电子邮件地址，个人信件，保密协议等等。 

2020年4月，  Travelex 选择以 230  比特币的形式向 REvil 团伙支付 230 万美元，因为他们的勒索软件攻击使 Travelex 的货币兑换服务瘫痪。同样，艾伦·格鲁布曼（Allen Grubman）也被迫面临类似的现实：遵守勒索软件要求达到 4200 万美元，或者破坏其律师事务所最引人注目的客户的机密信息。   

截至 2020年5月14日，艾伦·格鲁布曼（Allen Grubman）拒绝遵守或与名为 REvil 的网络帮派进行谈判。 根据这家律师事务所的说法，联邦调查局将黑客攻击归为恐怖主义行为。 

但是，REvil 勒索软件团伙并不是第一个勒索律师事务所的黑客组织，而且也不会是最后一个。根据消息来源，  Sodinokibi 勒索软件团伙似乎正在杀人。 

谈判违反联邦法律 

与被视为“网络恐怖分子”的团体（或向该团体支付赎金）进行谈判违反了联邦法律。与勒索软件有关的犯罪违反了联邦  电子通信隐私法和计算机欺诈与滥用法。   

计算机黑客是联邦政府根据 CFAA 调查的最常见的网络犯罪。尽管可以广泛执行联邦法律，  但联邦政府通常将自己限制在执行跨州界的犯罪，  以及最近被认为对国家安全构成威胁的计算机犯罪。 

作为刑事辩护律师，很难在这种情况下反思相似之处。通常，我们会发现自己处于这类冲突的另一端。  

过去，  我们为一家体育赌博软件公司辩护，理由是该公司涉嫌与暴徒串谋。该案经过审判，最终被驳回。后来，我们处理了一个加密货币黑客案，一个在线货币套利平台。最近，据称在犯罪率很高的社区附近非法部署了计分的比特币 ATM。 

与勒索软件的发布，实施和传播有关的费用  变得越来越普遍。这种趋势反映了对美国各地律师事务所进行的勒索软件黑客攻击的增加以及这些攻击的复杂性不断提高。这就是为什么律师事务所必须停止将其安全技术视为理所当然的原因。 

您的网络保险可能不涵盖此… 

您可能已经猜到了，  网络保险公司  正在向律师事务所的保单持有人提起诉讼，他们试图索赔与以下任何一项有关的业务收入损失： 

• 向渗透到律师事务所网络中的黑客支付的金钱赎金；要么 


• 由于企业无法访问其系统而导致的帐单丢失。 

例如，摩西·阿方索·赖安（Moses Afonso Ryan）律师事务所  正在寻求其保险公司 Sentinel Insurance Company 的付款，作为该公司向黑客访问该律师事务所的安全网络的 25,000 美元赎金的补偿。该律师事务所还正在寻求赔偿因黑客入侵而被关闭期间损失的账单中的 700,000 美元的补偿。   

尽管 Sentinel 确实向公司偿还了与黑客相关的 20,000 美元，但他们拒绝偿还因帐单丢失而产生的 700,000 美元的索赔。   

根据 Sentinel 的论点，根据有关政策，Sentinel 没有承担其他勒索软件损失的法律义务。这是因为仅当营业场所的财产遭受实际损失或损坏时，才适用业务损失收入的保单。   

可以获取涵盖与黑客相关的直接成本的政策，例如赎金成本以及聘请法律顾问和调查人员，以在您的公司遭受此类攻击时为您提供建议。   

但是，不幸的事实是，一家律师事务所尚未看到与勒索软件攻击有关的保险政策中“业务中断”部分的大量报销。更糟糕的是，保险公司在 2020年正准备对此类索赔进行诉讼。 

那么，您的律师事务所如何避免这种诉讼呢？您应该采取哪些预防措施？律师的“最佳实践”是什么？ 

ABA 最佳做法回复：黑客 

ABA 关于黑客的最佳做法

全国范围内的律师具有三项道德义务：  

 （1）在各方面均能胜任客户的代理， 

 （2）维护律师收到的客户信息和文件的机密性，以及  

（3）与客户保持开放的沟通，并告知客户任何可能导致客户就继续代理做出知情决定的重大缺陷。 

“透明度和对客户的披露” 

ABA 敦促律师在发生数据泄露事件时通知客户，并及时向客户提供最新调查信息。美国律师协会（ABA）的模型规则 1.4 规定： 

“ [律师] 应在合理必要的范围内解释问题，以使委托人能够就代理事宜做出知情的决定。”   

根据美国律师协会（“ ABA”）1995年10月27日发布的决定（第 95-398号意见：“ 非律师对律师数据库的访问 ”），ABA 认为：  

“如果发生严重违反保密规定的情况，律师可能有义务向客户披露。”   

底线：如果您的律师事务所的数据泄露可能影响您客户的立场或客户法律事务的结果，则根据规则 1.4（b）要求披露该泄露。 

“保持技术能力” 

示范规则 1.1，评论 8 指出：“律师应及时了解法律及其惯例的变化，包括与相关技术相关的收益和风险……”   

该规则要求律师不仅在法律和技术领域具有而且要保持一定水平的能力，以有效地为客户提供法律服务。 

“与服务提供商签订合同” 

当律师考虑与服务提供商建立关系时，他们必须确保服务提供商已制定（或将建立）合理的程序来保护其获得的信息。   

律师应采取步骤，以确保其服务提供商充分了解其关于客户特权信息的义务。 

赎金：付还是不付？ 

众所周知，对于那些发现自己是勒索软件攻击受害者的公司来说，没有好的选择。正如许多分析师所指出的那样，即使公司向黑客支付了所要求的金额，也没有任何办法阻止黑客无视付款并释放特权客户信息。 

我们最近写了有关  FBI 关于支付计算机勒索款项的立场的消息，并指出 FBI 已经发表了多条鼓励或允许公司偿还勒索软件攻击的声明：  

• FBI 网络与反情报计划助理特别代理人 Joseph Bonavolonta  说，  在大多数情况下，由于 FBI 无法帮助这些公司恢复文件，因此他们的代理人经常建议他们支付赎金以取回数据。 


• FBI 的  官方声明  说，他们不“提倡”支付赎金，但“ FBI 理解，当企业面临无法运作的情况时，高管人员将评估所有保护其股东，员工和客户的选择。” 

当心可预防的攻击 

当考虑到这些黑客手段已不是一种新现象，并从道德角度分析律师的职责时，一些律师认为，   如果律师不合理，那么一旦发生数据泄露事件，律师事务所将很可能承担责任。保护客户数据的步骤。现实情况是，当 REvil 勒索软件攻击发生时，律师事务所就不会同情。   

在  FBI 曾表示  ，他们继续看到许多组织的牺牲品  预防  攻击。如果这些攻击实际上是“ 可预防的 ”，那么到 2020年勒索软件攻击似乎在某种程度上可以预见。   

如果这些攻击被认为是“可预见的”，则律师事务所可能会向其承担以下责任的民事诉讼和道德隐含开放：  

• 保护客户的机密信息，  


• 在代表客户方面保持技术能力，以及  


• 决定他们是否最终向客户披露攻击。  

尽管 FBI 尚未公开宣布起诉公司支付赎金的政策，但它们仍在这一想法中徘徊。他们正在寻找以下方面的公开榜样：  

• 屈服于可预防的攻击，  


• 通过与黑客进行谈判，串谋向可能的犯罪集团支付赎金，或者  


• 使支付赎金成为一种商业模式。 

根据 FBI 针对 CISO 的  勒索软件预防和应对措施，“积极预防是最好的防御措施”。他们建议： 

• 实施意识和培训计划，  


• 启用强大的垃圾邮件过滤器，以防止网络钓鱼电子邮件到达最终用户，  


• 购买防火墙以计时访问已知的恶意 IP 地址，  


• 根据“最低特权原则”管理特权帐户的使用（仅向绝对需要特权的用户授予管理员访问权限），以及  


• 如果不使用远程桌面协议（RDP），请禁用它。 

如果这些预防措施失败了，他们建议如果您的律师事务所的系统感染了勒索软件，请采取以下步骤： 

• 隔离受感染的计算机，  


• 通过使备份数据或系统脱机来保护它们，  


• 更改帐户密码和网络密码，以及  


• 联系执法部门。 

另一个伟大的步骤将是加密您的数据。如果数据泄露中窃取的数据得到了正确的加密，则意味着攻击者将无法在没有密钥的情况下访问纯文本数据。这意味着不会发生数据泄露。 

实施律师事务所的安全事件响应计划并为此类攻击做准备需要考虑许多不同的因素。幸运的是，我们在这里指导您完成该过程。 

2020年律师事务所的 8 项网络安全提示 

1.审查律师事务所的保险政策

如果发生违规行为，您的保险是否涵盖勒索软件付款，数字资产损坏或声誉损害？您的保险公司是否有法律义务赔偿其他勒索软件损失？例如，如果您无法访问网络并被迫在一段时间内被迫关闭业务，您是否可以弥补损失的业务收入？还是您的保险公司会声称您的“营业损失收入”条款仅在营业场所财产遭受实物损失或损坏时才适用？ 

2.开发和实施网络攻击协议

在发生网络攻击时制定适当的政策和程序是关键。这涉及在您的高级律师和初级律师，行政人员以及某些情况下的客户之间保持开放的沟通渠道。与您的员工保持开放的通讯联系，可以确保更快地响应攻击，并使您可以将受感染的计算机与可能未被感染的设备隔离开。 

3.进行内部网络审核，道德黑客和渗透测试

雇用经认证的道德黑客对您的律师事务所系统进行例行审核。渗透测试是进行道德黑客攻击的一种常见方法，它涉及模拟网络攻击以突出显示您公司网络中的漏洞并测试您公司的防御能力。当您雇用道德黑客时，请务必概述： 

• 渗透测试的范围，  


• 何时进行测试（以避免服务中断），


• 是否在工程师审查系统之前运行自动扫描，


• 测试前您的工程师是否对律师事务所的网络有内部了解，并且


• 您的律师事务所的合伙人，合伙人和行政人员是否会知道测试（或者您是否也希望测试他们的响应时间？）

4.利用场外数据存储 并盘点数字资产

您的律师事务所应利用具有加密安全性的异地数据存储来在发生违规事件时保留您的数据。此外，请清点律师事务所的数字资产，并说明与网络保持连接的所有系统和设备。 

5.限制对网络和数据的访问 

您的律师事务所的网络流量应进行分段，以限制网络访问并防止网段之间的访问。请遵循“最低特权原则”（POLP）以确保仅将管理员访问权限授予绝对需要的人。此外，请确保所有访问服务器和电子邮件的律师事务所人员都定期对各自的设备进行病毒扫描。 

您还可以通过使用客户端证书或所谓的个人身份验证证书（PAC）来限制访问  。传统的 SSL 证书可用于对客户端（用户的 Web 浏览器）进行服务器身份验证。PAC 的工作方式相反：它们向服务器验证客户端的身份。因此，如果缺少正确权限的用户尝试访问服务器及其数据，则拒绝他们的访问。 

6.进行例行数据备份和维护

理想情况下，您的律师事务所应具有适当的备份以还原被盗的数据。拥有这些备份可能会消除勒索软件攻击时支付恢复数据的需要。此外，恶意软件将其插入律师事务所网站的最常见方式之一是通过过期的插件。  

为防止这种情况，请确保您的公司定期更新其 WordPress 用户名和密码，并保持 WordPress，PHP 编码和插件为最新。另外，如果您维护多个域，请为每个单独的域购买每日备份。 

（某些托管服务提供商包括您整个服务器的每日备份。整个备份  整个服务器的问题是，如果发生恶意软件攻击，您将需要将该服务器上的所有站点还原到该时间。备份–导致您丢失服务器上可能尚未感染的其他站点上已完成的工作，可以  点菜的  方式还原可能已感染的任何一个站点比重新启动时钟更有效率您所有的网站。） 

7.更新公司密码和研究所多因素身份验证 

保留公司所有帐户用户名和密码的纸质副本，并定期进行更新。这包括网站，目录列表，电子邮件帐户，计费帐户和服务器的凭据。  

两因素身份验证（2FA）不再适用。访问您公司的服务器和其他数据资产时，应使用多因素身份验证（MFA）。除语音验证和指纹之类的内容外，多因素身份验证还可能包括提供帐号，密码，PIN 和发送到该帐户中列出的远程设备的代码的要求。 

8.保持透明度和与客户的披露

最后的提示是，如果客户的个人识别信息遭到破坏，则始终与客户保持透明度和信息披露。被黑客入侵可能会造成毁灭性的后果，并面临道德隐患，因为对数据泄露处理不当的回应只会使情况变得更糟。 

关于律师事务所网络安全的最终思考 

加密锁定的恶意软件感染通常只是攻击的最后阶段，攻击可能已经持续了很长时间。律师事务所无法幸免于这种恶意活动，现在该面对这个事实了。   

对于某些企业而言，要在 2020年实现“新常态”，就很难克服勒索软件或网络攻击的额外影响。这就是为什么律师事务所的网络安全至关重要。公司必须采取合理的步骤来避免发生数据泄露时的责任和道德隐患，方法是聘请网络安全公司并就最佳做法咨询法律顾问。 

本文由 Robert Pagan 和 Ryan Blanch 共同撰写。Pagan 是 The Health Law Group 的法律文员，   目前正在等待进入纽约州律师协会（NYS Bar）。他于 2018年毕业于长岛霍夫斯特拉大学莫里斯 A.迪恩法学院。帕根在医疗保健法规和合规性，刑事医疗保健诉讼以及政府调查方面拥有丰富的经验。 

本文由机器译制