Het gezicht van onderzoeken naar datalekken verandert nu bedrijven zakelijke factoren afwegen buiten het traditionele kantoor van informatiebeveiliging.
Na een inbreuk zullen bedrijven bijvoorbeeld niet langer voor het eerst een incidentenbureau bellen, maar eerder een externe advocaat, een trend die bedrijven wettelijk beschermt, maar de technische reactie bemoeilijkt, blijkt uit lopend onderzoek door een drie academische onderzoekers. Bijna de helft van alle bedrijven roept advocaten in om het onderzoek te leiden, vertrouwend op hun expertise om door de wettelijke vereisten te navigeren, externe consultants in te huren en eindrapporten te schrijven, ontdekten de academische experts.
Verzekeringsmaatschappijen zien ook duizenden cyberinbreuken die worden afgehandeld door externe advocaten in plaats van een externe technische adviseur, zegt Josephine Wolff, een assistent-professor cyberbeveiligingsbeleid aan de Fletcher School of Law and Diplomacy van Tufts University. Wolff werkt samen met twee andere academische onderzoekers om gegevens te verzamelen over hoe bedrijven reageren op datalekken.
"Het idee is dat veel incidenten inbreuken op persoonlijke informatie waren, en die resulteerden in class action-rechtszaken ... en hoe beschermen we zoveel mogelijk van ons onderzoek met behulp van advocaat-cliëntprivilege", zegt ze. "Ik weet niet of [bedrijven] de regels proberen te omzeilen, maar het gaat erom te anticiperen op rechtszaken en een zo sterk mogelijke positie in te nemen als er een rechtszaak komt."
Het onderzoek laat maar één manier zien waarop bedrijven zich moeten aanpassen aan het veranderende landschap van cybersecurity-inbreuken. Een andere verschuiving in het landschap is de toenemende moeilijkheid om manieren te vinden om het risico van een cyberinbraak via verzekeringen te compenseren.
Hoewel cyberverzekeringen een lucratieve sector blijven, is elke schadecategorie het afgelopen jaar toegenomen. Gevallen van kwaadwillige inbreuken en onbedoelde openbaarmaking, die goed zijn voor tienduizenden claims, stegen elk jaar op jaar met 18%, volgens gegevens van het verzekeringsmarktanalysebedrijf Advisen. Verreweg de grootste verandering heeft plaatsgevonden in cyberafpersing – ransomware – die in een jaar tijd met bijna 150% is gestegen.
'Bloed in de straten'
Geconfronteerd met grote claims van ransomware-incidenten, hebben cyberverzekeraars de tarieven verhoogd en tegelijkertijd meer limieten toegevoegd aan nieuwe en vernieuwde polissen, zegt Jim Blinn, executive vice president of client solutions bij Advisen.
“Als je de impact bekijkt vanuit het perspectief van de verzekeraars, vloeit er veel bloed door de straten”, zegt hij. "Ze zijn gehamerd door de kosten van deze inbreuken en ransomware heeft ervoor gezorgd dat de premies met een ton zijn gestegen, dus verzekeraars zijn op zoek naar manieren om hun blootstelling te verminderen."
Al met al zorgen de twee gerelateerde trends ervoor dat bedrijven zich meer zorgen maken over de impact van compromissen. Cybersecurity-servicebedrijf CrowdStrike ontdekte dat bijna de helft van de incidentresponsopdrachten (49%) nu wordt aangevraagd door externe advocaten, volgens het jaarlijkse cybersecurityservices-rapport van het bedrijf.
Hoewel de strategie bedrijven kan beschermen in het geval van een rechtszaak, aangezien veel van het onderzoek van een advocatenkantoor als bevoorrechte informatie zou worden beschouwd, maken de juridische lagen het verzamelen van gegevens over inbreuken ook moeilijker, zegt Wolff van Tufts. Wolff werkt samen met professor rechten Daniel Schwarcz van de University of Minnesota Law School en postdoctoraal fellow in computerwetenschappen Daniel Woods aan de Universiteit van Innsbruck in Oostenrijk om te bepalen of de verschuiving naar het gebruik van advocaten - en de bescherming die het advocaat-cliëntprivilege aan bedrijven biedt - ondermijnt de cyberbeveiligingsreactie van organisaties.
Wanneer een extern advocatenkantoor het onderzoek uitvoert, kan worden beweerd dat het werkproduct beschermd is en dus niet kan worden ontdekt in een rechtszaak, aldus de onderzoekers. vermeld in een juridische analyse.
"Mijn interesse hierin komt voort uit hoe we betere gegevens verzamelen over cyberbeveiligingsincidenten en wat we moeten doen om ons er beter tegen te verdedigen", zegt Wolff. "En ik denk dat er manieren zijn dat het mogelijk is dat privilege en de betrokkenheid van advocaten dat moeilijker maken."
Toch betoogde de juridisch adviseur van een incidentbestrijdingsbedrijf dat, gezien de toenemende complexiteit van het melden van inbreuken en privacyregelgeving, de trend om advocaten in te zetten als leidende rol bij het reageren op incidenten natuurlijk is. Bedrijven met Europese klanten moeten zich zorgen maken over de General Data Protection Regulation (GDPR), terwijl bedrijven met Californische klanten zich moeten houden aan de California Consumer Privacy Act (CCPA). En dat zijn slechts twee voorbeelden - Colorado en Virginia hebben beide wetten die vergelijkbaar zijn met Californië, en ten minste zes andere staten hebben actieve rekeningen in behandeling.
"Een van de redenen waarom we zien dat onze klanten en de sector als geheel externe adviseurs gebruiken om onderzoeken te leiden, is omdat de respons op incidenten zelf steeds meer wordt gereguleerd", aldus de advocaat. "Er gelden vaak verschillende wettelijke regimes en voorschriften, en bedrijven willen een expert die zich dagelijks met de problemen bezighoudt en hen helpt het terrein te bewandelen."
Nu de wetsvoorstellen zijn ondertekend, is de angst om aangeklaagd te worden niet zonder reden, zegt Advisen's Blinn. Elk bedrijf dat met een grote inbreuk te maken heeft, moet zich meestal verdedigen tegen een rechtszaak, zegt hij.
"De balie van de eiser - in het begin ging het een beetje traag voor hen, maar ze zijn redelijk succesvol geweest in het ertoe brengen van bedrijven om te betalen", zegt hij. "Aanklagers zijn economische beesten en ze gaan waar ze kunnen om de kost te verdienen."
Of de trend de reactie van bedrijven op cyberaanvallen zal belemmeren, blijft een vraag - een vraag die de academische onderzoekers hopen te beantwoorden.
