網路安全及金色手銬(2021年春)

cyber security

2017 年,我向亞洲貿易協會的 50 名成員提供了有關美國法律服務市場的簡報。我預測科技公司會繼續將 IP 工作過渡到小型「替代法律」平台。雖然並非質疑該資料,但有位聽眾對網路安全提出疑問。他認為大型律師事務所比較安全。

為了回答這個問題,首先需要進一步瞭解通常被稱為「Am Law」的大型美國律師事務所。他們的主要業績指標,即每名合作夥伴的利潤(PPP)與一位棒球手的擊球平均值類似。公開將美國律師事務所以 PPP 排名是為了打動顧客及彼此。為了維持高 PPP,Am Law 律師事務所領導們將間接費用轉嫁給顧客,降低基礎設施成本,提高每小時費率,並執行律師的應計費配額。

身為以 PPP 主導的法律事務所的前合夥人,我受邀前往三星在首爾的主要設施。每名訪客都被保全人員制止並搜查。警衛檢查了公事包,並密封了每台筆記型電腦上的每個連接埠,包括屬於其外部法律顧問的連接埠。

在安慰自己並非身處首爾以北的地方後,我走到一塊大型警告牌下。被發現有記憶棒的訪客將無限期被禁止進入三星的所有設施。在該年晚些時候,我需要為東京的公司內部團隊顯示法律分析,我被告知任何公司的電腦上都沒有用於記憶棒的連接埠。

顧客知道記憶棒帶來的網路安全威脅。為何美國律師事務所允許員工將這些設備用於顧客的事務? 簡單的答案與 PPP 間接相關。員工設法向更多顧客收取更多時間費用。這有助於他們在以配額驅動的 Am Law PPP 生態系統中保留其工作。

如果律師或員工未能達到應計費的配額,他們就有可能「被移轉出去」。此流程旨在讓員工離開,同時避免昂貴的僱傭訴訟。在可能持續六個月的「過渡期」中,員工在為律師事務所工作期間找新工作。由於被開除不再是擔憂,而且沒有禁用記憶棒,在過渡期間很容易會發生資料洩漏。

去年秋天,一家谷歌「獨角獸」值得誇讚,證實了人類是網路資安最脆弱的環節。除了記憶棒之外,令人驚訝的是,專利訴訟團隊可能是一個薄弱的連結。例如,Am Law 團隊已使用 Zoom 和 Dropbox 來查看機密資訊,包括其顧客的源代碼。這些工具便宜且易於使用,但新聞報導指出存在嚴重的網路安全威脅。因此,Bauz IP Law 團隊成員只能使用安全工具,例如 LeapFILE 和 MS Teams。

律師使用不安全的電子郵件是另一個風險。Am Law 公司之管理合夥人責罵了使用 Gmail 來傳輸顧客機密資訊的律師。律師用它來將顧客電子檔案傳送至其不安全的家庭電腦,然後再發送回去。這樣做有助於他們在家收取更多工時費。話雖如此,谷歌禁止其律師使用 Gmail 和 Zoom。

沒有受到恰當監督的外部訴訟團隊成員是資料洩漏的另一個來源。專家經常使用記憶棒。我知道有一個人擁有 20 個來自不同專利案件與顧客的記憶棒。這意味著二十支隊伍未能收集並銷毀這些記憶棒。為了準備專家報告,與我交談的另一位專家使用 MS Office 365 for Home。此平價軟體的安全性極低。飯店等公共場所的第三方能以電子方式存取資料。

如今,許多美國律師事務所的電腦系統已經過時,且其資料中心的安全問題備受質疑。從顧客的帳單可證明員工可訪問資料中心。從帳單中無法明顯看出他們工作的地點和所做之事。

在 2018 年新加坡金融科技節,摩根士丹利網路安全主管詢問有多少參與者曾經造訪過他們的內部資料中心。他詢問是否有任何專屬的內部網路安全措施,例如警衛。和大多數合夥人一樣,我從未去過資料中心。

他指出 Azure、AWS 和 Google 在實體及電子上都是安全的,能最大限度地降低公司內部風險。與 Am Law 不同的是,資料安全性是他們的業務。雖然移轉至雲端無疑是一項改善措施,但 PPP 是對抗移轉的市場力量。

根據 2018 年的 Altman Weil 調查顯示,789 家美國法律事務所有將近 60% 的企業領導者認為他們的顧客通常不想改變。然而,當顧客缺乏能見度且依賴假設時,很難要求改變。Thane Bauz 親自和以保密方式協助公司內部 IP 團隊識別和消除差距。

回到最初提出的問題,顧客應該詢問其律師事務所有關資料安全的問題。新法律平台沒有 PPP 指標。無計費配額。他們可以經濟地獲得強大而安全的工具的網站授權。Bauz IP Law 並未受到 PPP 的限制,亦即所謂的「金色手銬」。

Thane Bauz 在全球律師事務所工作超過 25 年。他現在透過直接提供資料和建議來支援內部 IP 團隊。他的顧客會將風險降到最低,提高效率,並減省成本。請將您的問題透過電子郵件傳送至 [email protected]