Todos os anos, o Centro de Recursos de Tecnologia Legal da American Bar Association realiza o Relatório de Pesquisa de Tecnologia Legal , uma extensa pesquisa de advogados em consultório particular sobre o uso da tecnologia na profissão. O segundo volume da pesquisa, “Fundamentos de tecnologia e segurança”, recebeu respostas de advogados que atuam em empresas de todos os tamanhos: solos (31%); firmas de 2 a 9 advogados (27%); firmas de 10 a 49 advogados (15%); empresas de 50 a 99 advogados (5%); firmas de 100-499 advogados (10%) e firmas de mais de 500 advogados (12%).

Este artigo discute os resultados da pesquisa de 2019 relacionados diretamente à cibersegurança - um assunto que é (ou deveria ser) que interessa a advogados de empresas de todos os tamanhos, devido a responsabilidades éticas fundamentais e bom senso comercial. Como mostram os resultados, a profissão continua progredindo na adoção de práticas de gerenciamento de riscos necessárias para melhorar a segurança e a resiliência. No entanto, assim como nos resultados da Pesquisa de 2018 , ainda há espaço para melhorias.

A Pesquisa de 2019 fez perguntas de segurança cibernética relacionadas a políticas de tecnologia, ferramentas de segurança, violações de segurança, vírus / spyware / malware, medidas físicas de segurança e backup. As respostas fornecem um instantâneo detalhado do estado da profissão em todas essas áreas - informações que são especialmente úteis quando analisadas em relação a resultados de anos anteriores. Este artigo enfoca os resultados nas quatro áreas críticas a seguir: reconhecimento de incidentes, planos de resposta a incidentes, criptografia e seguro cibernético.

Ao considerar os resultados nessas áreas, é útil ter em mente o imperativo profissional de programas fortes de segurança cibernética. Obviamente, as notícias estão repletas de histórias de violações significativas de dados, causando danos econômicos e à reputação. Muitas violações menores ocorrem, é claro, que não são manchetes nacionais, mas, no entanto, causam danos significativos às pessoas afetadas. Além dos encargos enfrentados por qualquer empresa no enfrentamento de uma violação, os deveres de competência, comunicação e confidencialidade dos advogados, de acordo com as Regras Modelo de Conduta Profissional da ABA, exigem a consideração de questões de segurança cibernética:

1. A Regra Modelo de Conduta Profissional 1.1 fornece: “Um advogado deve fornecer representação competente a um cliente. A representação competente requer conhecimento jurídico, habilidade, profundidade e preparação razoavelmente necessários para a representação. ”O comentário 8 à Regra 1 do modelo deixa claro:“ Para manter o conhecimento e a habilidade necessários, um advogado deve acompanhar as mudanças na lei e em sua prática. , incluindo os benefícios e riscos associados à tecnologia relevante. ”Claramente, o dever da competência exige considerações de segurança cibernética.
2. A Regra Modelo de Conduta Profissional 1.4 exige que um advogado mantenha os clientes "razoavelmente informados" sobre o status de um assunto e explique os assuntos "na extensão razoavelmente necessária para permitir que um cliente tome uma decisão informada sobre a representação". Porque a comunicação hoje é tantas vezes conduzidas por meios eletrônicos, os advogados têm a obrigação de garantir que as ferramentas usadas para se comunicar sejam seguras. A Regra Modelo de Conduta Profissional 1.6 (c) prevê: “Um advogado deve fazer esforços razoáveis ​​para impedir a divulgação inadvertida ou não autorizada ou acesso não autorizado a informações relacionadas à representação de um cliente.” O comentário 18 estabelece fatores para “ considerados na determinação da razoabilidade dos esforços do advogado incluem, entre outros, a sensibilidade das informações,

Além das três regras de modelo discutidas acima, os advogados devem estar cientes da Opinião Formal 477 da ABA, que estabelece que: “[Um] advogado pode ser obrigado a tomar precauções especiais de segurança para proteger contra a divulgação inadvertida ou não autorizada de informações do cliente, quando exigido por um contrato com o cliente ou por lei ou quando a natureza das informações exigir um maior grau de segurança ".

O parecer lista sete fatores a serem considerados ao determinar o nível apropriado de segurança cibernética: a natureza da ameaça; como as informações confidenciais do cliente são armazenadas e enviadas; o uso de medidas razoáveis ​​de segurança eletrônica; como as comunicações eletrônicas devem ser protegidas; a necessidade de rotular as informações do cliente como privilegiadas e confidenciais; a necessidade de treinar advogados e assistentes não-legais e a necessidade de realizar a devida diligência em fornecedores que prestam serviços de tecnologia.

Além disso, quando ocorre uma violação de dados envolvendo ou tendo uma probabilidade substancial de envolver informações materiais do cliente, os advogados têm o dever de notificar os clientes sobre a violação e tomar outras medidas razoáveis, consistentes com suas obrigações sob estas Regras Modelo. ”Comitê Permanente da ABA sobre parecer formal de ética e responsabilidade profissional 483 “Obrigações dos advogados após uma violação eletrônica de dados ou um ataque cibernético” (17 de outubro de 2018). A Opinião Formal 483 deixa claro que “o potencial para uma violação ética ocorre quando um advogado não empreende esforços razoáveis ​​para evitar a perda de dados ou detectar intrusão cibernética, e que a falta de esforço razoável é a causa da violação.” declara que “por uma questão de preparação e melhores práticas, no entanto,

Com esses padrões em mente, é apresentado a seguir um resumo dos resultados da pesquisa de segurança cibernética de 2019 nas áreas de reconhecimento de incidentes, planos de resposta a incidentes, criptografia e seguro cibernético.

Consciência do incidente

Os resultados da pesquisa de 2019 mostram que um bom número de advogados, infelizmente, sofreu uma violação da segurança. De fato, 26% dos entrevistados relatam que suas empresas sofreram algum tipo de violação de segurança (incluindo atividades de hackers e explorações de sites para incidentes mais comuns, como laptops perdidos ou roubados).

Embora o número de 26% seja notável, também chamam a atenção os 19% dos entrevistados que relataram que não sabem se sua empresa já sofreu uma violação de segurança. Como era de se esperar, quanto maior a empresa, maior porcentagem de pessoas que desconhecem se suas empresas já sofreram alguma violação (respondentes individuais, 2% empresas de 2 a 9 advogados, 6%; empresas de 10 a 49 advogados, 24% , empresas com mais de 100 advogados, 53%). Obviamente, não há como saber o número de empresas que ainda não sabem que foram violadas.

As consequências de incidentes de segurança incluíram taxas de consultoria para reparo (37%), tempo de inatividade / perda de horas faturáveis ​​(35%), despesas com substituição de hardware ou software (20%), destruição ou perda de arquivos (15%), notificação da aplicação da lei de violar e notificar os clientes sobre a violação (9% cada), acesso não autorizado a outros dados confidenciais (não clientes) (4%) e acesso não autorizado a dados confidenciais do cliente (3%).

No que diz respeito a vírus, spyware e malware, os resultados indicam que mais de um terço dos entrevistados (36%) tiveram sistemas infectados com mais de um quarto (26%) sem saber se alguma dessas infecções ocorreu. Assim como nos incidentes de segurança discutidos acima, o tamanho de uma empresa afeta os respondentes que relatam que não sabem: respondentes individuais (7%), firmas de 2 a 9 advogados (15%), firmas de 10 a 49 advogados (30%) e empresas com mais de 100 advogados (58%).

As consequências da infecção incluíram a destruição ou perda de arquivos (14%), acesso não autorizado a dados confidenciais (que não são do cliente) (3%) e a tomada de medidas para relatar à aplicação da lei e clientes (1% cada). Outras consequências resultantes de uma infecção por vírus, spyware ou malware incluem custos incorridos com taxas de consultoria para reparo (40%), tempo de inatividade / perda de horas faturáveis ​​(32%), perda temporária de acesso à rede (23%), perda temporária da Web acesso ao site (17%) e substituição de hardware / software (15%).

Planos de resposta a incidentes

A resposta da Pesquisa de 2019 indica o progresso do advogado no tópico de desenvolvimento de planos de resposta a incidentes. Em 2018, apenas 25% dos entrevistados relataram ter um plano de resposta a incidentes com respostas variando de acordo com o tamanho da empresa - de solos (9%), firmas com 2 a 9 advogados (16%) a firmas de 10 a 49 (27%) e empresas com mais de 100 advogados (70%).

Este ano, o número geral que relata um plano de resposta a incidentes aumentou para 31% - com respostas favoráveis ​​em boa parte da diretoria - de solos (11%), firmas com 2 a 9 advogados (23%) e firmas de 10 a 49 anos. (35%) Apenas aqueles que responderam a empresas com mais de 100 advogados caíram de 65% para 65% em 2018.

Conforme observado no relatório “Cybersecurity” do ano passado sobre os resultados da Pesquisa de 2018 , todos os advogados devem ter programas de segurança adaptados ao tamanho da empresa e aos dados e sistemas a serem protegidos. A resposta a incidentes é um elemento crítico de qualquer programa de segurança da informação. Portanto, é encorajador ver algum progresso ano após ano na adoção de empresas de resposta a incidentes - particularmente entre empresas de pequeno e médio porte. No entanto, é claramente necessária mais adoção sobre esse tópico. Mesmo para advogados que responderam afirmativamente, ainda há trabalho a ser feito na avaliação e melhoria regulares dos planos existentes.

Os elementos essenciais de um plano típico de resposta a incidentes incluem procedimentos para a comunicação inicial de um incidente, a confirmação do incidente, a escalação apropriada e a investigação. As práticas recomendadas incluem um gerente de projeto de resposta a incidentes que trabalha com uma equipe interdisciplinar familiarizada com obrigações de relatórios de violação, requisitos de mitigação e etapas necessárias para a recuperação. Por fim, os planos normalmente fornecem um período de revisão pós-incidente para permitir que as lições aprendidas sejam incorporadas a um plano revisado.

Os planos de resposta a incidentes devem ser elaborados para a empresa com todas as leis e obrigações profissionais aplicáveis ​​e informados por padrões como os estabelecidos pelo Instituto Nacional de Padrões e Tecnologia (NIST), uma agência sob a égide do Departamento de Comércio dos EUA. A conhecida “estrutura” do NIST fornece um excelente contexto para muitos pontos que devem ser incluídos em um plano de resposta a incidentes.

Um escritório de advocacia que esteja desenvolvendo um plano de resposta a incidentes deve revisar a Opinião 483 com atenção para considerar questões éticas que possam estar implicadas em um incidente cibernético. O parecer não estabelece uma forma obrigatória de plano de resposta a incidentes. Em vez disso, a opinião é clara: a responsabilidade de qual a melhor forma de conformidade com as Regras do Modelo é deixada para os profissionais, considerando os fatos e as circunstâncias únicas de suas práticas.

Criptografia

A Opinião Formal 477 da ABA, mencionada acima, não exige o uso de criptografia em todas as instâncias, observando em parte que “o uso de emails de rotina não criptografados geralmente permanece um método aceitável de comunicação advogado-cliente”. No entanto, a opinião continua afirmando que o uso de medidas de proteção mais fortes, como criptografia, é apropriado em algumas circunstâncias. Os advogados devem implementar quando “exigido por um contrato com o cliente ou por lei, ou quando a natureza das informações exigir um maior grau de segurança”.

Os resultados da pesquisa de 2019 indicam que menos da metade dos participantes usa criptografia de arquivos (44%), pouco mais de um terço usa criptografia de email (38%) e menos ainda usam criptografia de disco inteiro / completo (22%). Esse resultado é uma mudança positiva significativa em relação ao ano anterior no uso de criptografia de email (29% em 2018), enquanto o número de criptografia de arquivos e criptografia de disco inteiro / completo (46% e 24%, respectivamente em 2018) aumentou ligeiramente.

Embora a mudança seja positiva, existe espaço para muito mais aprimoramentos no uso de ferramentas básicas de criptografia para manter as informações confidenciais dos clientes em segurança.

Seguro cibernético

Os resultados deste ano indicam um nivelamento das empresas com apólices de seguro de responsabilidade cibernética após um avanço significativo sobre o tema em anos anteriores. No geral, 33% dos entrevistados em 2019 relatam que suas empresas têm seguro de responsabilidade cibernética (em comparação com 34% em 2018).

Os dois anos anteriores tiveram um progresso muito mais dramático - já que 26% das respostas relataram essa cobertura em 2017 e 17% em 2016. Uma estatística notável dos resultados de 2019: 39% dos entrevistados relatam que não sabem se suas empresas possui seguro de responsabilidade cibernética. Como a criptografia, a consideração da cobertura de seguro cibernético deve ser um ponto de dados básico para todo advogado em exercício - e, se essa cobertura existir, deve haver um entendimento de seus limites, exceções e exclusões, pois a cobertura constitui apenas uma parte de uma estratégia maior de segurança cibernética.

Conclusão

O relatório do ano passado, realizado na Pesquisa de 2018, concluiu que “todos os advogados e escritórios de advocacia devem ter programas de segurança abrangentes e baseados em risco, que incluem salvaguardas, treinamento, revisão e atualização periódicas e conscientização constante sobre a segurança”. Essas palavras permanecem verdadeiras hoje. Os resultados da Pesquisa de 2019 mostram que, embora tenha havido algum progresso em algumas áreas, os escritórios de advocacia ainda precisam avançar no projeto e na implementação de soluções apropriadas. O reconhecimento dos problemas, a consideração das opções disponíveis e a implementação de um programa personalizado são (e continuarão) etapas necessárias para todas as empresas.