Тренінги з кібербезпеки для юридичних послуг
Інтерактивні симуляції, узгоджені з ABA, для партнерів, асоційованих юристів, помічників і IT-персоналу юридичних фірм та внутрішніх юридичних команд. BEC шахрайство з переказами, фішинг, соціальна інженерія та сценарії конфіденційності документів, узгоджені з ABA Model Rule 1.6 та Formal Opinions 477R і 483.
Автор Dmytro Koziatynskyi Перевірено
Чому юридичним фірмам потрібно більше за щорічну службову записку про конфіденційність
ABA TechReport щороку фіксує стабільне зростання порушень безпеки в юридичних фірмах, причому фірми AmLaw 200 переживають публічні інциденти з ransomware та BEC, які потрапляють у місцеві новинні цикли. Закриття угод з нерухомістю, виплати за врегулювання та перекази з трастових рахунків зробили юридичні фірми одними з найбільш конверсійних цілей BEC у країні. FBI IC3 оцінює річні втрати від BEC у сфері юридичних послуг у сотнях мільйонів доларів.
ABA Model Rule of Professional Conduct 1.6(c) вимагає від юристів докладати розумних зусиль для запобігання несанкціонованому розкриттю інформації клієнтів. ABA Formal Opinion 477R та Formal Opinion 483 встановлюють прямі обовʼязки з кібербезпеки: оцінка ризиків, навчання персоналу, перевірка сторонніх постачальників та компетентне реагування на інциденти. Колегії адвокатів штатів Нью-Йорк, Флорида, Північна Кароліна та інших додали специфічні правила кібербезпеки.
RansomLeak пропонує тренінги, що відповідають ABA Rule 1.6, Formal Opinions 477R і 483, правилам кібербезпеки колегій адвокатів штатів та вимогам SOC 2, які клієнти зараз висувають до зовнішніх юристів. Інтерактивні 3D-симуляції відпрацьовують реальні рішення персоналу фірм: BEC з перенаправленням переказу під час закриття угоди, фішинг від імені опонуючого юриста, vishing-дзвінок з проханням до помічника скинути MFA, OAuth-запит на iManage або NetDocuments.
Загрози, специфічні для юридичної сфери
BEC для шахрайства з переказами та перенаправлення трастових рахунків
Закриття угод з нерухомістю, виплати за врегулюванням та перекази з трастових рахунків IOLTA є висококонверсійними цілями за даними FBI IC3. Зловмисники чекають на електронні листи про закриття та підкидають перенаправлені інструкції щодо переказу. Тренінг відпрацьовує крок верифікації за відомим телефонним номером, який запобігає втратам.
Фішинг для отримання облікових даних систем управління справами
Логіни до Clio, MyCase, NetDocuments, iManage та Litera Workspace це сучасні еквіваленти офісних ключів. Зловмисники використовують фішинг проти асоційованих юристів та помічників, щоб викрасти облікові дані та отримати доступ до привілейованої роботи з клієнтами. Персоналу потрібне розпізнавання шаблонів, привʼязаних до цих конкретних інструментів.
Програми-вимагачі на сховищах документів
Шифрувальна атака ransomware на iManage, NetDocuments або DocuWare може зупинити кожну активну справу у фірмі. Більшість починається з фішингового листа юристу або співробітнику. Тренінг, який відпрацьовує шлях ескалації та рішення "не платити без юридичної консультації", має високий ефект.
Соціальна інженерія проти помічників та адміністраторів
Помічники, юридичні асистенти та персонал рецепції стикаються з претекстингом від фейкових опонуючих юристів, фейкових судових клерків та фейкових клієнтів, які просять статус справи або копії документів. Тренінг відпрацьовує крок верифікації, що захищає конфіденційність клієнта згідно з Rule 1.6.
Шахрайство з рахунками постачальників проти фінансової служби фірми
AP-команди фірм оплачують зовнішнім експертам, судовим репортерам, постачальникам e-discovery та послуг перекладу. BEC-зловмисники видають себе за цих постачальників із перенаправленими інструкціями щодо переказів. Фінансовому персоналу потрібна сценарна практика, а не загальні нагадування про антифішинг.
Фреймворки відповідності, які охоплює ця сторінка
Відповідність регуляціям, що визначають більшість рішень про закупівлю в галузі юридичних послуг.
ABA Model Rule 1.6 (конфіденційність)
Rule 1.6(c) вимагає від юристів докладати розумних зусиль для запобігання несанкціонованому розкриттю інформації клієнтів. Коментарі 18 і 19 пояснюють, що "розумні зусилля" включають заходи безпеки, пропорційні чутливості та характеру інформації.
ABA Formal Opinions 477R і 483
Opinion 477R встановлює обовʼязок компетентності в кібербезпекових практиках для комунікацій юристів. Opinion 483 охоплює обовʼязок реагувати на порушення даних, включаючи зобовʼязання повідомити постраждалих клієнтів та усунути наслідки.
Правила кібербезпеки колегій адвокатів штатів
Нью-Йорк (RPC 1.6 коментар, Part 500), Флорида (Bar Rule 4-1.6 коментар), Північна Кароліна (RPC Op. 2015-6), Техас, Пенсильванія та інші видали обовʼязкові керівництва з кібербезпеки для ліцензованих юристів.
HIPAA (для клієнтів у сфері охорони здоровʼя)
Фірми, що представляють клієнтів зі сфери охорони здоровʼя, є бізнес-партнерами за HIPAA та повинні укладати BAA і навчати співробітників, які працюють з PHI. RansomLeak охоплює HIPAA-навчання, узгоджене з 45 CFR § 164.308(a)(5).
Читати посібникВимоги клієнтів щодо SOC 2, ISO 27001, GDPR
Серйозні клієнти все частіше вимагають, щоб зовнішні юристи відповідали SOC 2 Common Criteria, ISO 27001 контролю обізнаності A.7.2.2 або очікуванням GDPR Article 32 щодо тренінгів як частини договору або анкети постачальника.
Підібрані вправи для галузі юридичних послуг
Вибрано з каталогу 100+ вправ і пріоритезовано саме для цієї галузі.
Компрометація ділової електронної пошти
Шахрайство з переказами та перенаправлення трастових рахунків це найбільш конверсійні сценарії BEC у юридичній сфері. Обовʼязково для партнерів, практики з нерухомості, врегулювань та AP-персоналу.
Спробувати вправуВиявлення фішингових листів
Більшість випадків ransomware та крадіжки облікових даних у юридичних фірмах починається з фішингового листа. Найрезультативніша вправа для кожного юриста та співробітника.
Спробувати вправуVishing (голосовий фішинг)
Помічники та IT-служба підтримки є цілями vishing для скидання облікових даних та обходу MFA. Практика відмови від розкриття та ескалації до служби безпеки.
Спробувати вправуЗахист від соціальної інженерії
Рецепція, помічники та персонал з конфліктів інтересів стикаються з претекстингом від фейкових опонуючих юристів та фейкових клієнтів. Будує звичку верифікації поза каналом, яку вимагає Rule 1.6.
Спробувати вправуБезпечний обмін документами
Надсилання привілейованих документів клієнтам, спільним юристам та експертам вимагає верифікованих каналів. Охоплює DocuSign, безпечні портали та ризики звичайних поштових вкладень.
Спробувати вправуНалаштування MFA та опір атакам
Охоплює MFA fatigue та push-bombing на iManage, NetDocuments та Microsoft 365. Важливо для партнерів, IT та будь-якої ролі з підвищеним доступом до робочих продуктів клієнтів.
Спробувати вправуЗагрози, які охоплює ця програма
Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.
Що таке тренінги з обізнаності з кібербезпеки для юристів?
Тренінги з обізнаності з кібербезпеки для юристів це структурована освітня програма, що готує партнерів, асоційованих юристів, помічників, юридичних асистентів, IT-персонал та AP-команди в юридичних фірмах та внутрішніх юридичних відділах розпізнавати та повідомляти про кіберзагрози, націлені на юридичні послуги. Вона задовольняє ABA Model Rule of Professional Conduct 1.6(c), Formal Opinion 477R щодо комунікацій юристів, Formal Opinion 483 щодо реагування на порушення даних та правила кібербезпеки колегій адвокатів у Нью-Йорку, Флориді, Північній Кароліні, Техасі та інших.
На практиці ефективні юридичні тренінги виходять за межі службової записки про конфіденційність та щорічного відеоролика про відповідність. Юридичні фірми потребують сценарної практики для BEC з перенаправленням переказу під час закриття угод з нерухомістю, шахрайства з трастовими рахунками IOLTA, фішингу на iManage та NetDocuments, реагування на ransomware у сховищах документів, соціальної інженерії проти помічників та шахрайства з рахунками постачальників. Дані ABA TechReport та FBI IC3 щороку документують зростаючі втрати в цих категоріях.
RansomLeak проводить юридичні тренінги через інтерактивні 3D-симуляції, а не пасивні відео. Платформа задовольняє ABA Rule 1.6, Formal Opinions 477R і 483, правила кібербезпеки колегій адвокатів штатів та вимоги SOC 2/ISO 27001/GDPR від серйозних клієнтів. SCORM-експорти інтегруються з будь-якою LMS фірми, а готові для аудиту пакети доказів узгоджуються з кожною думкою ABA та правилом колегії адвокатів штату. Каталог охоплює всі шаблони загроз з ABA TechReport та даних FBI IC3 щодо юридичних послуг.
Часті запитання
Що найчастіше запитують покупці у галузі юридичних послуг.
Чи задовольняє цей тренінг ABA Model Rule 1.6 та Formal Opinions 477R і 483?
Як часто має проводитися навчання з безпеки в юридичній фірмі?
Хто в юридичній фірмі потребує цього тренінгу?
Як це допомагає під час BEC шахрайства з переказом при закритті угоди?
Чи інтегрується платформа з нашою системою управління справами або LMS?
Як виглядають аудиторські докази для перевірки колегією адвокатів штату або клієнтських анкет SOC 2?
Чи можуть індивідуальні практики та малі фірми це використовувати?
Дотичні матеріали
Тренінги з компрометації ділової електронної пошти
Читати статтюПосібник з тренінгів симуляції фішингу
Читати статтюНавчання з відповідності для регульованих галузей
Читати статтюПосібник з тренінгів обізнаності з безпеки
Читати статтюВимоги до тренінгів з обізнаності з безпеки HIPAA
Читати статтюЗапустити цю програму у галузі юридичних послуг
Запишіться на 30-хвилинну демонстрацію, адаптовану під ваш персонал, LMS та аудиторський графік.