隨著智能、互聯設備日益普及并越來越多地承載高價值信息（比如醫院所持有的病人醫療記錄），網絡攻擊者的入侵點也在增多。 審視網絡攻擊的范圍以及潛在的法律風險，內部法務工作者必須知道，哪些操作對于公司保持正常運轉是至關重要的，這些操作可以中斷多長時間而不至于導致長期后遺癥

“物聯網”現在成了技術專家們的談資。它指的是一個為了方便起見，以及為了日常營運，而由政府和公司所使用的相互連接的智能化設備所組成的復雜世界。這些相互連接的設備，可以加快客人預訂一家豪華酒店的速度，或將醫院的心臟監視器鏈接到一名病人的病史。但是，這些系統也是網絡攻擊的侵入點。

對于一些行業來說，比如電力工業和國防工業，網絡攻擊天天發生。網絡攻擊也與日俱增地以醫院、大酒店和大學為目標。其中每一個目標都提供了獲取具有高潛在價值的信息的通道，而與財務公司等以前受到攻擊的目標相比，它們的安全屏障往往沒有那么先進。

比如說，在2012年，在所有數據泄露事故當中，發生在醫療保健行業的占36％，這是行業中所報道的最高數據外泄比率。醫院存儲著大量個人信息。在過去的兩年里，單單互聯網連接的醫療設備一項，就有近200起網絡攻擊直沖而來。這是一個驚人的例子，足顯醫療保健行業多么吸引網絡攻擊。

和醫院一樣，酒店也已成為誘人的目標。酒店可能無法監測和保護那些分布全球各地并與各種各樣電子服務提供商相連接的設施。在一家豪華酒店舉行會議的公司董事會，可能依賴并不安全的無線保真（Wi-Fi）獲得無線互聯網接入。在酒店發生的一次令人尷尬的敏感性客戶數據外泄，或一次黑客團伙對一位高級管理人員所發起的網絡攻擊，對一酒店運營者的聲譽而言，會是毀滅性的打擊。

教育行業也同樣脆弱。2012年，教育行業所報道的數據外泄事故在所有行業當中位居第二，僅次于醫療行業。瞄準大學而獲取受到訪問限制的數據或技術，這樣可以節省多年而昂貴的研發開支。除了對教研人員的系統直接發起黑客攻擊之外，安保操作上簡單的疏忽也可能導致敏感性數據丟失。

基礎知識：內部律師今天可以有何作為

▲ 營造安全文化

你所在公司的每一個人都要明白，安全是公司的基本支柱。應當指示工作人員知道，安全為公司所有其他運營活動提供了便利，并且，如果沒有安全，公司就會遭受促使公司走向失敗的風險。這不是要制造恐懼文化，相反，而是營造安全文化，一種確保每一名工作人員了解并遵循安全程序，并協助公司防止許多可能造成損害的破壞性網絡攻擊的文化。

公司內部律師可以率先開發和推廣安全文化。律師可以提供幫助，把安全程序的技術要求“翻譯”成公司員工可以理解和執行的日常用語。例如，通過社會工程的入侵（即通過瞄準你的電子郵件和密碼等個人信息而利用你的弱點）和物理和網絡混合攻擊（供應商或承包商在場時可能發生）會造成巨大傷害，并且非常難以以技術方案防止這些攻擊。律師可以彌合技術解決方案以及打擊這些入侵所需行為變化之間所存在的縫隙，從而提高認識，創建安全文化。

▲ 未雨綢繆

一項2013年發布的在安全問題方面的重大調查研究表明，數據泄露成本最小化的三個最重要方法是：（1）創建和維持一項數據泄露應急預案；（2）保持較強的安全態勢；（3）聘請首席信息安全官（CISO）。（注釋1） 這三者都是公司所需要的：確保數據處于公司控制之下，鍥而不舍地核驗安全保護做法，并投資聘請合格專家管理安全事務。

公司內部法律顧問應在制定安全計劃和打造安全態勢方面扮演關鍵角色。他們可以彌合由IT人員或技術人員所確定的安全要求與操作人員、管理層以及公司其他組織實施這些安全要求之間的差距，可以幫助IT人員和技術人員了解公司所適用的法律和監管要求，還可以擔當一個溝通入口，就公司內部各部門上上下下所關心的與網絡有關的問題進行交流。

企業一旦開始開發安全政策，律師就應當發揮作用，而不要等到開發完畢之后只是審閱這些政策。如果等到那時才參與進去，你就因為沒有投入這份工作而面臨風險。更重要的是，你會錯過了解這些政策背后的道理的機會，以及錯過了解這些政策所采用的安全程序的機會。

▲ 參與安全政策規劃委員會

應當定期與公司首席信息安全官交流；確定參與安全規劃的其他關鍵性管理人員；打聽打聽看是否有其他任何人應當參與進來；把這些人聚集起來成立安全政策規劃委員會，并自始至終參與這一委員會。

有太多的律師避免接觸IT團隊，因為他們覺得后者的題材太具技術性。當然，涉及數據安全和關鍵基礎設施的機制會是技術性的。然而，對于包括律師在內不懂技術的人而言，大部分資料非常易于學習。你可以自學很多的技術概念，但你的角色應當集中于有關于公司安全“大畫面”的政策問題，包括所涉及的成本和效益，以及支配公司安全問題的法律法規。

如果你不能理解這些安全政策，或者不懂這些政策是如何開發出來的，或者不懂如何修訂這些政策，那么，你就遇到大麻煩了。如果你是這樣一種處境，那么請返回到第一步：與公司首席信息安全官交流。

▲ 你的數據受到哪些控制？

在對公司發起的網絡攻擊當中，近10％是內部人所為，即公司員工所為。他們決意從事犯罪、破壞和其他惡劣活動。把入侵者拒于公司之外是不夠的，你需要應對來自公司內部的威脅。

在這方面，關鍵是對數據設置控制手段，比如，應當對數據進行分隔，并且應當規定只有通過多重批準程序才能訪問高度敏感性數據。你所在公司的數據控制政策所要解決的關鍵問題包括：

■數據是什么？

■數據在哪里？

■哪些人控制著數據？

■如何訪問數據？

■你是否在保護應當保護的數據？

如何對數字化資料進行安全保護可能屬于安全團隊（即IT技術人員）的工作范圍，但對內部律師而言，了解和監控數據控制手段同樣是重要的。

審核工作可以幫助你確定可用數據，并確定賦予員工的訪問權限。應當確保你所在公司人事與安全政策明確規定，在內部審核或調查期間，以及在應對網絡攻擊時，法務部門和IT部門可以審核員工對數據的訪問。你所在公司的政策還應明確規定，哪些人擁有公司所控制的數據。

審核工作還可為你的法務團隊就公司所保有的數據類型提供富有價值的洞見：數據存儲的地方（包括存儲在“云”中，即一種異地服務器，通常由第三方擁有和運營），數據傳輸的目的地，數據傳輸的方式，以及哪些數據被認為是最重要的數據。你可能會發現，有些數據或項目是法務部門并不知道的。

把這個新發現作為契機，在做好這些數據的安全保護工作之外，評估你所在公司的知識產權組合，并確認你是在適當地保護就這些信息所享有的法律權利。應當審查公司在數據存儲和傳輸方面的合同，同時也要注意在各個司法管轄區之間在法律上的不同要求。

▲ 安全計劃將如何限制作業中斷？

內部律師必須知道，哪些操作對于公司保持運轉是至關重要的，這些操作可以中斷多長時間而不至于導致長期后遺癥。比如，如果某個黑客團伙發起分布式拒絕服務（DDOS）攻擊，以斷裂性請求（disruptive requests）湮滅你所在公司的系統，那么你需要了解這將對操作產生什么影響。網絡安全界有很多不同模式的支持備份系統，從完全冗余到僅僅恢復關鍵系統，不一而足。你應當知道你所在的公司選擇哪些類型的系統，原因是什么。這種意識會有助于你的法律部門支持最關鍵性服務，并了解中斷對操作所產生的影響。

應當以安全計劃為契機，同時開發你與執法部門的溝通程序。應當確定哪位執法人員最有可能提供幫助。 警方很少有對數據泄露做出回應的先進技能。聯邦執法部門的能力也高低不同。應當在面臨網絡攻擊壓力之前就開始聯系你所在地區的聯邦調查局辦公室，并定期更新你的聯系方式。應當就你的計劃實施流程進行討論，以確定如何通知當地的聯邦調查局辦公室，執法部門于何時以及如何加入你們的調查工作，如何保存和披露信息，以及其他細節。這會為你在承受網絡攻擊壓力期間節省大量時間，并大量減少混亂。

▲ 捂住錢袋，聰明花錢

為獲得先進的安全性，美國國家安全局（NSA）投資數十億美元，但顯然未能對數據進行區隔分類，未能實施雙重訪問控制。這些都是基本的、廉價的措施，實施這項措施，可能本來會阻斷愛德華·斯諾登輕松獲取大量數據，這些數據本來是他無法獲得和公開傳播的。

首先應當實施簡單而低成本的解決方案。部署低成本的加密技術可以通過確保任何丟失的數據無法讀取而根除數據損失。應當要求你的安全團隊進行驗證，以確保加密等簡單的解決方案被考慮在內。其他的低成本解決方案包括去除數據下載能力、復制數據，以及關閉那些準許對你的系統進行未經授權訪問（包括通過可移動介質進行訪問，比如大拇指U盤）的未用端口。此外，商業服務可以監控開放源碼資料，并開出清單，列出可能存在的威脅單。

這幾類服務可以降低總成本，并通過幫助公司員工專注于對付為數更少的威脅而提高安全性。這些服務通常同樣用于監測商標濫用。分享這些服務，并與安全團隊分攤成本，可能是一個既提高安全性又保護公司品牌的好機會。

▲ 好安全需要好情報

不少業內團體現在提倡威脅情報方面的數據共享，以便在攻擊發生之前即能識別潛在攻擊。在過去的幾年當中，這些團體都是非正式的，它們松散地共享數據，但并沒有獲得足夠的安全保障。這些不安全的信息共享，不應繼續成為麻煩問題。目前的許多平臺在業界成員或執法部門之間提供安全有效的數據共享。這些團體可以幫助你所在公司專注于對付可能產生的威脅，專注于與執法部門合作。

在很多時候，律師對數據共享方案充滿了警惕。這是一種過時的思維方式。如果你所在公司的首席信息安全官提議實施數據共享，你應當歡迎這種想法。你應當花時間了解可用的不同的平臺，并提出最好的內部保障措施，以使數據共享成為有效的工具。作為內部律師，你也可以利用所擬用的平臺幫助公司識別任何潛在的法律陷阱，并識別這些缺陷會對公司及其業務產生什么結果。

▲ 你該轉移風險嗎？

你是否為網絡攻擊購買保險了？很少有首席信息安全官跳出技術保障的范圍來看待網絡安全的風險管理元素。絕大多數的標準責任保險單并不涵蓋數據泄露、網絡攻擊以及對之所做出的回應。

但目前市場上已有越來越多的保險產品處理網絡攻擊和攻擊回應問題。

應當進行風險評估，用以計算網絡攻擊預期損失乘以網絡攻擊預期發生率所得到的數值，從而確定是否應當購買額外責任險。你所在公司的首席信息安全官應當有能力幫助你分析風險責任，但法務部門應當審視當前所購買的責任保險，以確認這些保險是否足夠。

你已被黑客入侵。怎么辦？

你想給誰打電話？

在網絡攻擊中，你是首先給技術調查員打電話呢，還是首先給律師事務所打電話？應當是律師事務所。律師事務所可以在律師-委托人特權之下幫助你保護整個調查流程。一些精品律師事務所已經與法醫調查權限結合起來，組建了混合咨詢模型，這為在未來的訴訟當中限制證據開示范圍提供了最好的保護。首席信息安全官幾乎從來沒有想過首先給律師打電話。但是，如果這樣做，并且有對路的律師事務所整裝待發，不僅可以迅速推進你的調查工作，同時也可以保護你所在公司免于承擔責任風險。應當從一開始就利用律師-委托人特權保護你的敏感性調查。

請注意，與適用于內部法律顧問的特權一樣，律師-委托人特權已被一些州進行了狹義解釋。這項特權不太可能適用于基于持續業務活動的通信活動。為了避免喪失這項重要的保護特權，內部律師應當避免親自指揮任何調查，而應當委任外部顧問來承擔這一領導角色。

當首席信息安全官由總法律顧問管理，或總法律顧問已經深度介入對安全團隊的監管時，就產生了一個顯著相關的問題。這種報告機制很可能被解釋為身處律師-委托人特權范圍之外的持續業務關系。當把首席信息安全官這一角色從法律部門直接管理鏈條中移除，并且外部律師管理調查活動時，這項特權就得到了最明確的保護。

▲ 證據保全

證據保全帶來了兩個問題：一個是技術上的問題，另一個是法律上的問題。內部律師對兩者均可提供幫助。調查人員所面臨的最常見的技術問題，是事件回應者不懂數字證據保全。比如，IT人員可以分隔被黑客感染并被用來穿透公司網絡的計算機或服務器，然后復制硬盤驅動器，并從網絡中將其刪除。這聽起來不錯，對吧？但是錯了！隔離可能會在短期內使麻煩停住，但一旦把機器從網絡中刪除，調查人員將難以從一開始就追蹤導致攻擊的黑客行為。觀察并記錄前導活動的機會已被破壞，而如果有了這個機會，你就有機會了解，黑客是如何獲得進入你的系統的入口的，更重要的是，你就有機會了解，你可以如何防止今后發生類似的攻擊。

從法律角度看，在被隔離機器上存在的實物證據，現在未必有助于在以后的訴訟程序當中采用。與事件回應者相比，法醫學調查員必須在處理數字證據方面遵守更高的標準。驅動器的副本必須通過采用法醫算法所進行的驗證，以確保其精確性。你所在公司的IT人員可能也同樣毀壞了由隨后的法醫檢驗員在法庭上驗證這些證據的任何機會。內部律師可以而且應當確保安全團隊了解，如何以一種為在以后的法律訴訟當中采用電子證據而對之加以維持的方式保全和維持電子證據。

▲ 在披露與精確之間權衡

在美國，幾乎所有的州現在都有數據泄露通知法。這些法律一般要求及時發出數據泄露通知。然而，在調查完成之前匆忙披露數據泄漏可能給你所在公司帶來更多麻煩。比如，高估泄漏范圍，以及在報道中增大數據泄露數量，都會增加成本。鑒于每次泄露記錄的平均成本是159美元，這種過度披露會是一個代價昂貴的錯誤。

在眾目睽睽之下過早行事之前，應當確認丟失的數據是在法律上定義為需要公開的個人信息。作為內部律師，在準確適用那些規定通知范圍、時間與方式的法律法規的要求方面，你能有幫助。

如果要求發出泄露通知，那么這些通知應是清晰而明確的。律師在此同樣可以提供幫助，包括確保通知用語清晰而明確，以使之滿足所適用法律法規的要求，并不至于提供可能使公司面臨額外責任的無關信息。

最后，公司在通知的同時也可以考慮提供公共援助，比如提供能夠連接信用檢查服務供應商或身份盜竊監控服務供應商的網絡鏈接。提供公共援助可能有助于留住客戶好感，甚至有助于防止受害者在不滿情緒刺激下發起其他訴訟。內部律師應當與公司業務需求以及公司在維護客戶關系方面的重要性保持高度一致。與此同時，如果披露給客戶的數據過多，那么律師可以幫助公司管理其潛在的法律風險。