أمن البيانات لشركات المحاماة – الأمن السيبراني

قد يفترض الشخص العادي أن الملفات الموجودة على الكمبيوتر المحمول الخاص بالمحامي هي في الأساس مجموعة من المستندات المملة، لكن المتسللين يعرفون الحقيقة الأكثر واقعية حول أهمية محتوى هذا القرص الصلب.

المحامين يمكنهم الوصول إلى الأسرار التجارية والملكية الفكرية والهياكل التنظيمية والخطط الإستراتيجية في خزائن موكليهم. وعلى الرغم من أنه ليس من المبالغة التفكير في أن شركة محاماة متعددة الجنسيات يمكنها تحمل استراتيجية معقدة للأمن السيبراني، فإن العديد من مكاتب وشركات المحاماة المحلية إما لا تستطيع تحمل الكثير من إتجاهات الأمن السيبراني أو انها لا تعطي الأولوية لذلك.

هذا هو السبب في أن شركات المحاماة أصبحت أهدافًا داخل مجتمع المتسللين “القراصنة”  بسبب أنها تحتوي على جميع المعلومات المطلوبة والمهمة مع درجات أمان أقل في المتوسط.

مع التطور السريع في عالم التقنية واتجاه الحكومات والمؤسسات نحو الرقمنة في كافّة خدماتها، وفي إطار رؤية المملكة العربية السعودية 2030 ، وانطلاقًا من مبادرة “استثمر في السعودية” وما فيها من انفتاحًا اقتصاديًا شامل، وإزدياد ثقة المستثمرين في السوق السعودي، وما يتبعه من دخول شركات إستثمارية كبيرة إلى السوق السعودي، كان من الواجب أن نكتب هذا المقال، لما له من أهمية كبيرة.

في هذا الدليل لأمن البيانات في شركات المحاماة، نوضح بالتفصيل الالتزامات التي يتحملها المحامون تجاه عملائهم فيما يتعلق بحماية البيانات، ومخاطر التعرض للاختراق، وأمثلة للهجمات الإلكترونية، واستراتيجيات منع الاختراقات واكتشافها والتعامل معها.

جدول المحتويات

  • التزامات ومسؤوليات مكاتب المحاماة
  • مخاطر الهجوم
    • برامج الفدية
    • مخططات التداول من الداخل
  • أمثلة لشركات المحاماة التي تعرضت للهجوم الإلكتروني
    • Wengui V. Clark Hill Law Firm
    • وثائق بنما
    • دعوى جماعية للتهديد بخرق البيانات
  • تدقيقات الأمن
    • قائمة تدقيق
  • سياسات امن البيانات
    • قم بإنشاء حلقة من ملاحظات الأمان
    • تحقق بانتظام من الأذونات أو الصلاحيات وقم بتحديثها
    • الحفاظ على تدقيق مسارات الوصول إلى البيانات
    • فرض كلمات المرور القوية
    • استخدام المصادقة متعددة العوامل
    • البقاء على اطلاع دائم والامتثال للوائح الحكومية
    • خطة الاستجابة للحوادث
  • نصائح لأمن بيانات مكتب المحاماة الخاص بك

التزامات ومسؤوليات مكاتب المحاماة

تقوم هيئات أو نقابات المحامين في معظم الدول بوضع تشريعات متنوعة لمهنة المحاماة تتضمن علاقة المحامين بالعملاء وحدود مسؤولية المحامي مع عملائه.

الهيئة السعودية للمحامين أصدرت قَوَاعدُ السُّلوك المِهْنِيّ لِلْمُحَامِينَ بتاريخ 2017 ، تتضمن المادة الخامسة منه مجموعة بنود تخص أسرار المهنة، ومن المؤكد أنه سيتم تطوير بعض هذه المواد بما يتوافق مع ثورة المعلومات الإلكترونية والتحول الرقمي الحاصل في المملكة العربية السعودية.

وقامت كذلك نقابة المحامين الأمريكية (ABA) بإلزام المحامين بالقواعد الأخلاقية والنموذجية للسلوك المهني منذ اعتمادها في عام 1983. هذه القواعد هي البوصلة الداخلية التي يستخدمها المحامون عند التنقل في مختلف السيناريوهات والتفاعلات مع العملاء.

تنص القاعدة 1.6 ، المتعلقة بسرية معلومات العميل ، على أنه “يجب على المحامي بذل جهود معقولة لمنع الكشف غير المقصود أو غير المصرح به عن المعلومات المتعلقة بتمثيل العميل أو الوصول غير المصرح به إليها.”

يعني هذا في الأساس أن المحامين يجب أن يبذلوا جهودًا لحماية بيانات موكليهم.

في عام 2018 ، أصدرت ABA الرأي الرسمي 483 ، والذي يناقش أهمية حماية البيانات وكيفية التعامل مع الخرق الأمني ​​الذي لا مفر منه، يحدد الرأي المتطلبات قبل وأثناء وبعد الهجوم الإلكتروني الذي يستهدف شركات المحاماة.

لذلك هناك لوائح معمول بها يجب على المحامين بذل جهود معقولة لحماية بياناتهم وبيانات عملائهم، والتعامل بشكل شفاف عند الاشتباه في انتهاك أو اكتشافه، وإبلاغ أي عملاء قد يكونون قد تأثروا بهذا الانتهاك.

في الأقسام التي ستقرأها، سترى مدى انتشار المخاطر بالنسبة لشركات المحاماة، والسوابق القضائية التي توضح مدى مسؤولية شركات المحاماة عن انتهاكات البيانات، ونصائح لزيادة عمليات الأمن السيبراني في مكتبك أو شركتك.

مخاطر الهجوم

ازداد مشهد التهديدات للشركات بشكل عام وشركات ومكاتب المحاماة بشكل خاص مع عمليات التحول الرقمي التي تشهدها معظم الدول، والإحتياج اليومي لها في إجراء المعاملات.

معظم المحامين وربما جميعهم يبدأون يومهم بالتحقق من بريدهم الإلكتروني ومشاهدة موقع التواصل الاجتماعي twitter وربما نشر تغريدة كذلك،  وإجراء مكالمة مع العميل وإرسال بريد إلكتروني للمتابعة مرفق به معلومات من المحتمل أن تكون حساسة.  ولكن لكل واحد من هذه الإجراءات يؤدي إلى إمكانية تسرب المعلومات التي يمكن للقراصنة استخدامها للتسلل إلى شركة المحاماة الخاصة بك.

ربما تكون قد وقعت ضحية لانتحال البريد الإلكتروني، والذي يزور فيه إسم المرسل ويمكن كذلك أن يتضمن هذا البريد مرفقات أو روابط ضارة.

الهجمات الإلكترونية ضد شركات المحاماة ليست ظاهرة جديدة، لكن معدل حدوثها والنمو السنوي لها كبير جداً.  في الواقع، وفقًا لنقابة المحامين الأمريكية ABA ، فإن 42 ٪ من شركات المحاماة التي تضم ما يصل إلى 100 موظف قد تعرضت لخروقات في البيانات.

لقد ناقشنا بالفعل الأسباب التي تدعو القراصنة لاستهداف شركات المحاماة (لأن لديهم عادةً معلومات يدركون اهميتها او يريدها المتسللون لكشف بيانات العملاء، أو حتى لغرض التسلية) ، لكننا لم نناقش دوافعهم للحصول على هذه المعلومات.

1-     برامج الفدية

يسعى معظم القراصنة لتحقيق مكاسب مالية بطريقة أو بأخرى. ويرون أن قيمة المعلومات لشركة المحاماة الخاصة بك هي بمثابة كنز لهم.

بمجرد قيامهم باختراق قاعدة البيانات الخاصة بك، وتشفير بياناتها، سيرسلون إشعارًا بطلب الفدية قبل فك تشفير البيانات مع التهديد بنشر المعلومات للجمهور. يمكن أن يكون للإفصاح العلني عن هذه المعلومات تداعيات طويلة الأمد، مثل الأضرار المالية أو المعنوية للعملاء، ناهيك عن الأضرار التي تلحق بسمعة مكتبك أو شركتك، والقضايا التي سيرفعها العملاء ضد مكتب المحاماة بسبب سوء الإستخدام.

1-     مخططات التداول من الداخل

هناك طريقة أخرى يجني منها القراصنة أرباحاً من خلال البيانات التي يستخرجونها من مكتبك أو شركتك وهي اتخاذ قرارات استثمارية بناءً على المعلومات السرية المتعلقة بعملائك مثل البيانات المالية وعمليات الدمج والاستحواذ وصفقات التمويل ومعلومات القضايا الحساسة وغير ذلك.

على سبيل المثال، لديك عميل في طور الحصول على صفقة كبيرة، وإذا نجحت الصفقة، فسيؤثر مالياً على سعر السهم. إذا تمكن أحد المتطفلين من الوصول إلى المعلومات ذات الصلة المحيطة بالصفقة، فيمكنه استخدامها لشراء (أو بيع) الأسهم بناءً على هذه المعلومات الداخلية.

أمثلة لشركات المحاماة المعرضة لهجمات إلكترونية 

 

1-      Wengui ضد Clark Hill Law Firm

في عام 2016، تعاقد رجل الأعمال الصيني والمعارض السياسي ، Guo Wengui ، شركة المحاماة الدولية Clark Hill للمساعدة في التقدم بطلب للحصول على اللجوء السياسي في الولايات المتحدة. أوضح Wengui للفريق في Clark Hill أن الحكومة الصينية جعلته هدفًا للهجمات الإلكترونية المستمرة وأنه من المحتمل أن يتعرضوا لهجمات مماثلة.

في 12 سبتمبر 2017، تم اختراق خوادم Clark Hill ، مما أدى إلى اختراق معلومات جواز سفر Wengui وزوجته وطلبهم للحصول على اللجوء السياسي، والذي تم مشاركته بعد ذلك عبر الإنترنت.

بعد هذا الحدث، حاولت شركة Clark Hill التنصل من أي مسؤولية عن طريق التخلي عن Wengui كعميل. ثم رفع Wengui دعوى قضائية بقيمة 50 مليون دولار ضد Clark Hill لخرقها واجب ائتماني، وخرق العقد، وسوء التصرف القانوني .

القضية لا تزال جارية لكن المحكمة رأت أن Wengui دافع عن مطالبات قابلة للتطبيق لسوء التصرف.

2-    وثائق بنما

حدثت إحدى أكبر انتهاكات البيانات على الإطلاق في عام 2016، حيث تم استخراج أكثر من 2.6 تيرابايت من البيانات ، أو 11.5 مليون مستند ، من شركة المحاماة الدولية موساك فونسيكا ومقرها بنما.

كشف الخرق عن بيانات تتعلق بمشاركة الشركة في تشكيل شركات وهمية لإدارة الثروات الخارجية لحوالي (200) ألف كيان تجاري، وأظهرت هذه المستندات كيف يقوم الأثرياء باستغلال الملاذات الآمنة للتهرب الضريبي.

3-   دعوى جماعية للتهديد بخرق البيانات

على مدى السنوات القليلة الماضية، بدأت الدعاوى القضائية في الظهور بناءً على التهديد بخرق البيانات، حتى قبل اختراق أي بيانات.

على سبيل المثال ، شركة Johnson & Bell القانونية ومقرها شيكاغو هي المدعى عليه في قضية جارية حيث يجادل المدعي بأن الموقع الإلكتروني الخاصة بهم معرض للهجوم وبالتالي يستمر في تعريض معلومات العميل للخطر.

تجادل شركة Johnson & Bell بأن نظامهما آمن، لكن خوادمهما تعمل على برنامج JBoss قديم لديه نقاط ضعف معروفة، تمتلك شركة Johnson & Bell  أهدافًا مهمة في شكل معلومات تجارية حساسة مثل البيانات المالية وصفقات الاندماج والاستحواذ والمزيد.

إذا حكم القاضي لصالح المدعي، فسيتم وضع سابقة جديدة فيما يتعلق بكيفية توقع شركات المحاماة لإدارة بيانات العميل والحفاظ عليها.

التدقيق في الأمن السيبراني

هناك نوعان من عمليات تدقيق الأمان: داخلي وخارجي. يتم إجراء الأول من قبل فريق العمل لديك، والأخير بواسطة خبراء خارجيين.

أدناه، نقدم قائمة مرجعية للتدقيق الداخلي الخاص بك:

  • التخطيط
    • قم بإنشاء جرد لـ
      • الأجهزة المادية
      • البرامج وعمليات التكامل
      • أذونات وصلاحيات قاعدة البيانات
      • الشبكات
    • البيانات التفصيلية مصنفة حسب حساسيتها
    • استخدم نمذجة التهديد لتحديد التهديدات ونقاط الدخول المحتملة.
  • الموظفين
    • تدريب الموظفين على العمليات الأمنية وكيفية اكتشاف النشاط المشبوه بما في ذلك:
    • نصيحة: أرسل بريدًا إلكترونيًا على مستوى الشركة (داخلي) يحتوي على رابط يبدو مريبًا، حيث يتلقى الموظفون الذين ينقرون عليه تدريبًا إضافيًا.
      • إنشاء سياسة إستخدام قياسية للأجهزة.
        • الأجهزة الشخصية.
        • الأجهزة المملوكة للشركة.
      • تحديد صلاحيات الوصول: يمتلك الموظفون حق الوصول إلى المعلومات الضرورية للغاية لوظائفهم فقط.
  • الموردين والشركاء
    • فهم سياسات الخصوصية وأمن البيانات لجميع الموردين والشركاء
    • لديك نقاط متعددة من النسخ الاحتياطي
  • قسم تكنولوجيا المعلومات
    • لديك خطة لتقوية النظام، وهي عملية التخلص من نقاط الوصول أو الحسابات أو الأذونات غير الضرورية أو غيرها من الثغرات الأمنية المحتملة غير المستخدمة
      • تقوية التطبيق
      • تقوية نظام التشغيل
      • تقوية الخادم
      • تقوية قاعدة البيانات
      • تقوية الشبكة
    • اختبار الاختراق المنتظم: محاكاة الهجمات الإلكترونية لكشف التهديدات المحتملة.
    •  تثبيت برنامج مكافحة الفيروسات وتمكين التحديثات التلقائية.
    •  مراجعة سجلات الأخطاء بانتظام.
    • مراجعة متغيرات البيئة البرمجية ومراجعة التعليمات البرمجية وأفضل ممارسات التحكم في الإصدارات.
    • استشر طرفًا ثالثًا للتحقق مرة أخرى من عمل فريق تكنولوجيا المعلومات لديك.
    • تعد التهديدات الداخلية من بين أفضل 5 أنواع من التهديدات في الأمن السيبراني
  • الأمن المادي
    • احتفظ بالخوادم الداخلية في أماكن مغلقة وآمنة.
    • قم بتخزين النسخ الاحتياطية عن بُعد في مكان منفصل وآمن.
    • إنشاء عملية للتفتيش المنتظم.
    • قم بتثبيت أنظمة الوصول البيومترية أو بطاقات الدخول وأنظمة كاميرات الأمان
    • تأكد من أن عملية التخلص من الجهاز والملفات آمنة ودائمة.
  • أمن البيانات
  • إنشاء عملية للتدقيق على فترات منتظمة
    • عمليات تدقيق داخلية ربع سنوية
    • المراجعات الخارجية السنوية

سياسات البيانات والأمن 

يسأل الكثير من الناس، “كيف أعرف إذا تم اختراق معلومات حسابي؟”. تفترض طبيعة هذا السؤال بالذات أن أحد المتطفلين قد اخترق أنظمتك بالفعل وأن طريقة الكشف هي كل ما تحتاجه. هذه عقلية بأثر رجعي: يجب أن تسعى لتكون أكثر استباقية للأحداث من خلال تشكيل أنظمة وعمليات للوقاية.

دعنا نغطي بعض السياسات التي يمكن أن تساعد في منع المهاجمين من استغلال الثغرات الأمنية في أنظمتك.

1.     قم بإنشاء سلسلة مراجعات أمنية

يمكن أن يساعد وجود عنوان بريد إلكتروني للمستخدمين للاتصال بفريق الأمان الخاص بك إذا كان يعتقد بوجود ثغرة أمنية في تجنب عمليات الاستغلال في المستقبل.

بعض الشركات تقدم مكافأة لاكتشاف الثغرات، حيث تحفز خبراء الأمن لتنبيههم بالمشكلات المحتملة والحصول على مقابل بسيط لتلك الخدمة، بدلاً من استغلال الخطأ لتحقيق مكاسب مالية للمخترق.

يقوم عدد متزايد من المواقع بتطبيق معيار security.txt ، والذي يوفر مكانًا مركزيًا للمواقع لتحديد سياسات الأمان الخاصة بها. يمكن أن يساعد ذلك الباحثين الأمنيين الأفراد الذين يجدون الثغرات الأمنية بسرعة وسهولة في الإبلاغ عنها.

2.     تحقق بانتظام من الصلاحيات وتحديثها

من الناحية الافتراضية، لا يحتاج كل موظف في مكتبك أو شركتك إلى مفتاح لكل باب في المبنى، عند التفكير في مستوى الوصول الذي يجب أن يتمتع به كل موظف، يجب أن تفكر في الحد الأدنى من مستوى الوصول الممكن. أو للاستمرار في مثالنا، اكتشف الحد الأدنى لعدد الأبواب التي يحتاج هذا الشخص للوصول إليها، وامنحهم مفاتيح تلك الأبواب وتلك الأبواب فقط. يُعرف هذا باسم الوصول إلى الامتيازات الأقل.

يمكنك أتمتة عملية إعادة التصديق و / أو إلغاء الوصول. تصبح هذه العملية مهمة بشكل خاص عندما يتم ترقية الموظفين أو الاستقالة. يجب أن يكون لديك حدث متكرر عند إعادة تقييم جميع الأذونات داخل المكتب أو الشركة.

1.     الحفاظ على مسار تدقيق للوصول إلى البيانات

من المهم أن يكون لديك عملية لتتبع العمليات المريبة فيما يتعلق بنقاط اتصال البيانات للمساعدة في تسليط الضوء على وقت اختراق حساب المسؤول، أو عندما يكون لديك موظف خائن للأمانة، أو أي عدد من السيناريوهات الأخرى.

تستخدم أداة التحليل السلوكي للمستخدم والكيان (UEBA) خوارزميات التعلم الآلي المعقدة لتحليل وإبراز أي نشاط غير عادي داخل مكتبك أو شركتك.

على سبيل المثال، إذا قام أحد الموظفين بتنزيل 50 ميغابايت من البيانات على أساس يومي لتشغيل التقارير، فإن أداة UEBA الخاصة بك ستشير إلى حدوث انحراف كبير ووقت حدوثه. على سبيل المثال، إذا قام الموظف يومًا ما بتنزيل 100 جيجابايت من البيانات (1000x) ، فسيؤدي ذلك إلى تشغيل تنبيه للمسؤول.

2.     فرض كلمات مرور قوية

واحدة من أكثر نقاط الدخول شيوعًا للمتسللين هي من خلال كلمات المرور غير الآمنة. إذا سبق لك استخدام “123456” ككلمة مرور أو أعدت استخدام كلمة مرور لتسجيل الدخول إلى أكثر من حساب، فأنت لست وحدك. وفقًا لمسح أجرته Google ، فإن 65٪  من المستخدمين يعيدون استخدام كلمات المرور لحسابات متعددة ، إن لم يكن كلها.

عند إنشاء كلمة مرور، تأكد من أن نظامك لديه عملية تحقق لرفض كلمات المرور التي لا تلبي الحد الأدنى من المعايير. يوصى أيضًا عندما يكون لديك موظفون وعملاء وأي شخص آخر لديه حق الوصول إلى نظامك أن يعيد تعيين كلمات المرور الخاصة به بانتظام.

3.     استخدم المصادقة متعددة العوامل

كان من الممكن إحباط العديد من الانتهاكات عن طريق المصادقة متعددة العوامل. الشكل الأكثر شيوعًا هو المصادقة الثنائية، حيث يجب على المستخدم تقديم دليلين على الأقل لإثبات هويته.

بشكل عام، عندما يقوم المستخدم بتسجيل الدخول إلى بوابة إلكترونية أو موقع الكتروني، سيتم إرسال رمز فريد عبر رسالة نصية SMS او عبر البريد الإلكتروني للتحقق من أن الشخص الذي يقوم بتسجيل الدخول لديه حق الوصول إلى رقم الهاتف او البريد الإلكتروني المسجل. تتضمن الأشكال الأخرى للمصادقة متعددة العوامل أسئلة الأمان و captcha والمزيد.

1.     ابق على اطلاع دائم باللوائح الحكومية

احتلت البيانات والخصوصية مركز الصدارة في العديد من المجالات التنظيمية حول العالم، في المملكة العربية السعودية أطلقت هيئة الاتصالات وتقنية المعلومات CITC تنظيم ” القواعد العامة للمحافظة على خصوصية البيانات الشخصية للمستخدمين” ، وفي دول الإتحاد الأوروبي القانون العام لحماية البيانات (GDPR) ، إلى قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) في كاليفورنيا ، فإن فهم كيفية الامتثال للوائح التي تمارس فيها القانون أمر ضروري لحماية عملائك وبياناتهم.

على سبيل المثال، لكي تكون الشركة متوافقة مع القانون العام لحماية البيانات (GDPR) ، يتعين على الشركة قانونًا تعيين مسؤول حماية بيانات مسؤول عن التدفقات الداخلة والخارجة من البيانات.

2.     خطة الاستجابة للحوادث

خطة الاستجابة للحوادث هي الطريقة التي سيتعامل بها فريقك مع مختلف مراحل الهجوم، بما في ذلك:

  • الاكتشاف: اكتشاف الحدث من خلال الأدوات البرمجية، أو الأنشطة غير الاعتيادية، أو تقارير من قبل الموظفين أو مصادر خارجية.
  • الاحتواء :مرحلة الفرز حيث يتم تحديد المكون المخترق وعزله.
  • التحقيق: تحديد نقطة الدخول ونطاق الهجوم.
  • المعالجة: إصلاح الأنظمة المتأثرة بالخرق، وإخطار الأطراف المتضررة، وإبلاغ السلطات إذا لزم الأمر.
  • الاسترداد: استخدم الدروس المستفادة من هذا الهجوم لضمان عدم تكرار العملية والتحسين.

نصائح لأمن بيانات مكتب المحاماة الخاص بك 

فيما يلي بعض النصائح لمكتبك أو لشركتك القانونية لتقليل فرص التعرض للاختراق:

  • للموظفين
    • كلمات مرور قوية:
  • رفض كلمات المرور سهلة التخمين والتي لا تلبي معايير الأمان برمجياً.
  • الطلب من الموظفين تغيير كلمات المرور الخاصة بهم بشكل دوري.
    • المصادقة متعددة العوامل
  • تقديم دليل إضافي واحد على الأقل بجانب كلمة المرور لتحديد هوية المستخدم.
  • الزام الموظفين بإستخدام عوامل المصادقة الثنائية.
    • الصلاحيات:
  • قدر المستطاع أستخدم صلاحيات أقل للموظف بما يخدم أعمالك.
  • تحديث نظام الصلاحيات بشكل دوري وبحسب زيادة أنواع المهام أو تقليصها للموظف.
    • تحديث الأنظمة والبرامج
  • تحقق من أن جميع الأجهزة والبرامج المستخدمة محدثة لأخر إصدار.
    • تدريب الموظفين على الأمن السيبراني :
  • توفير تدريب للموظفين حول حماية بريدهم الإلكتروني والحماية من رسائل التصيد الإحتيالي والهندسة الاجتماعية.
  • إجراء اختبار عبر إرسال بريد إلكتروني للموظفين يحتوي على رابط مريب، ومن لم يتجاوز الإختبار يتم تدريبه من جديد.
  • للبيانات
    • تشفير البيانات
  • إستخدم شهادات الأمان SSL لضمان تشفير البيانات أثناء الاستخدام.
  • تمكين تشفير القرص الصلب كاملاً على جميع الأجهزة لحماية البيانات في حال السرقة لا سمح الله.
    • حماية البيانات عن بعد
  • توفير إمكانية مسح البيانات عن بعد.
  • تشفير البيانات المخزنة.
    • تدقيق عمليات الدخول إلى البيانات
  • إستخدم أداة UEBA للتبع العمليات المريبة.
  • تتبع سجل الأنشطة الخاصة بكل موظف.

 

إقرأ أيضاً

أفضل برنامج محاماة