Cyberbezpieczeństwo z perspektywy prawnika
Kiedy w serialu „Suits” Harvey Specter spotykał się z działem IT swojej kancelarii w tle widzieliśmy obrazki z serwerowni, która wyglądała jak pomieszczenie, które raczej kojarzymy z bankami niż z kancelarią prawną. W krajowej praktyce typowy dział IT w kancelarii prawnej wygląda chyba trochę inaczej niż w serialu. Nasze systemy są zabezpieczone gorzej, ale korzystamy z nich w sposób bardzo podobny jak za oceanem.
Analizując, w jaki sposób prawnicy korzystają z technologii zauważymy, że niektóre stosowane przez nich rozwiązania mogą być bardziej zaawansowane niż w innych zawodach. Standardem jest praca zdalna, korzystanie z usług sieciowych i chmury obliczeniowej i elektroniczna wymiana dokumentów i informacji z klientami.
Dlatego wykonując zawód prawnika, warto być na bieżąco w nowinkach technologicznych tak, aby korzystać z dostępnych rozwiązań w sposób świadomy, bezpieczny i zgodnie z ich przeznaczeniem. Bez tego łatwo możemy znaleźć się w sytuacji, w której zamiast zaufanym doradcą staniemy się nie tylko ofiarą cyberprzestępców, ale także kanałem, który hakerzy wykorzystają, aby przeprowadzić atak na naszego klienta.
Program szkolenia jest przygotowany tak, aby jego uczestnicy mogli zapoznać się podstawowymi wyzwaniami związanymi z cyberbezpieczeństwem. Do udziału zapraszamy Adwokatów i Radców prawnych prowadzących własne kancelarie oraz pracujących jako in-house lawyer.
Od uczestników nie oczekujemy wiedzy z zakresu informatyki wykraczającą poza podstawowe doświadczenie z eksploatacji komputerów. Oczekujemy natomiast, że będą oni gotowi do krytycznej oceny wykorzystywanych przez siebie rozwiązań i uczestniczenia w dyskusji na temat innych niż dotychczas metod korzystania z technologii.
Korzyści płynące z udziału:
- Bieżąca informacja na temat najbardziej typowych cyberzagrożeń
- Wyjaśnienie, jak działają rozwiązania technologiczne wykorzystywane w pracy prawnika
- Przypomnienie podstawowych zasad bezpiecznego korzystania z technologii
- Inspiracja: spojrzenie na prawo w zakresie bezpieczeństwa informacji z innej perspektywy
Krajobraz cyberzagrożeń w roku 2023
Prezentacja typowych cyberataków. Omówienie modus-operandi i podstawowych technik stosowanych przez cyberprzestępców. Fakty i mity na temat hakerów – rola mediów i kampanii informacyjnych w promowaniu dobrych praktyk w zakresie cyberbezpieczeństwa.
Podstawy organizacji zarządzania bezpieczeństwem informacji: regulacje i dobra praktyka
- Co to jest bezpieczeństwo informacji
- Najważniejsze wymogi formalne i branżowe: norma ISO 27001 oraz alternatywne standardy rynkowe
- „Twarde” (techniczne) i „miękkie” (organizacyjne) narzędzia zarządzania bezpieczeństwem
Omówienie katalogu podstawowych narzędzi dostępnych dla menedżerów w zakresie zarządzania bezpieczeństwem informacji. Dyskusja na temat praktyki rynkowej.
Prawnik jako cel hakerów. Znaczenie klasyfikacji informacji dla planowania ochrony systemów IT
Identyfikacja zasobów (aktywów) informacyjnych kluczowych dla typowej kancelarii prawnej. Wyjaśnienie, na jakie rezultaty hakerzy mogą liczyć atakując kancelarię prawną. Typowe zabezpieczenia informacji zalecane do stosowania w kancelarii.
Ochrona informacji przez prawnika zatrudnionego „na etacie”.
Case study: ochrona informacji powierzonej prawnikowi przez jej klientów.
Zasady bezpiecznej eksploatacji rozwiązań technologicznych przez prawników
W jaki sposób prawnik może nieświadomie narazić siebie i swoich klientów na cyberzagrożenia.
ABC cyberbezpieczeństwa – katalog dobrych praktyk w zakresie bezpiecznej eksploatacji systemów informatycznych i typowe błędy popełniane przez użytkowników technologii. Wyjaśnienie jak działają typowe zabezpieczenia technologiczne i jak je wykorzystywać zgodnie z przeznaczeniem – poznanie mocnych i słabych stron poszczególnych technologii.
Zasady bezpiecznej eksploatacji chmury obliczeniowej i usług sieciowych.
Bezpieczeństwo i prywatność informacji
Na czym polega luka pomiędzy zgodnością z prawem a faktycznym bezpieczeństwem informacji.
- Podobieństwa i różnice pomiędzy bezpieczeństwem i poufnością informacji
- Poszukiwanie synergii: wykorzystanie wdrożenia RODO do poprawy bezpieczeństwa informacji
- Znaczenie DPIA (ocena skutków dla ochrony danych) przy planowaniu bezpieczeństwa: zrozumienie roli procedur i technologii. Perspektywa prawnika i informatyka.
Dyskusja – dlaczego RODO nie wystarcza do zapewnienia cyberbezpieczeństwa.
Postępowanie w trakcie cyberincydentu
Filozofia „zero-trust” w zarządzaniu cyberbezpieczeństwem. Znaczenie ciągłego monitorowania sieci.
- Rola Security Operations Center i uprawnienia SOC
- Prawnik w trakcie incydentu: ofiara cyberataku, czy zaufany doradca kierownictwa
- Obowiązki informacyjne ofiary cyberataku: współpraca z CSiRT i organami ścigania
- Dobre i złe praktyki w zarządzaniu cyberincydentami: rola prawnika
Nowe wyzwania dla cyberbezpieczeństwa: ekosystem w gospodarce elektronicznej
Ograniczenia „tradycyjnego” podejścia do bezpieczeństwa informacji w typowym handlu internetowym. Analiza cyberzagrożeń w przykładowym „ekosystemie” współodpowiedzialnym za realizację usług wspieranych przez technologię sieciową.
- Wpływ dostawców na profil cyberzagrożeń: nie tylko chmura obliczeniowa
- Compliance w obszarze technologii: najnowsze trendy regulacyjne i ich wpływ na rolę prawników
- Praktyczny nadzór nad dostawcami usług: praktyka rynkowa, regulacje i bariery prawne
Case study: transakcja internetowa „od kuchni” – zadania i obowiązki wszystkich stron transakcji.
Jakub Bojanowski - doświadczony konsultant w dziedzinie zarządzania ryzykiem informatycznym. Przez ponad 20 lat kierował zespołem konsultantów zajmujących się audytem i doradztwem w zakresie bezpieczeństwa informatycznego w międzynarodowej firmie doradczej.