[Cybernews] Christopher Wall, HayStackID: „Datenschutzgesetze erwarten von Unternehmen, dass sie wissen, welche Daten sie haben“

en flag
nl flag
fr flag
de flag
pt flag
es flag
uk flag

Anmerkung des Herausgebers: Als führendes eDiscovery-Dienstleistungsunternehmen mit einem starken Fokus auf Cyber Discovery, Information Governance und Legal Discovery wird HayStackID regelmäßig von Branchenexperten und Publikationen aufgrund seines innovativen Ansatzes und seiner umfassenden Expertise bei der Lösung datenzentrierter Herausforderungen für Unternehmen, Anwaltskanzleien und Regierungsbehörden. Dieser kürzlich veröffentlichte Artikel, in dem die Datenschutz- und Compliance-Expertise von HayStackID hervorgehoben wird und Chris Wall von HayStackID vorgestellt wird, ist unten aufgeführt und kann für Cyber-, Daten- und Rechtsexperten von Vorteil sein, die sich mit Datenschutz-, Sicherheits- und Compliance-Herausforderungen befassen möchten.

Von Anna Zhadan und Herausgegeben von Cybernews*

Dokumentenschränke gehören wahrscheinlich der Vergangenheit an, aber man könnte argumentieren, dass die Digitalisierung von Daten mehr Herausforderungen in Bezug auf Datenschutz, Sicherheit und Abruf mit sich brachte, als es herkömmliche Manila-Ordner jemals könnten.

Die Menge an Informationen, die bei der Suche nach Daten in Gerichtsverfahren durchsucht werden müssen, ist enorm. Der Prozess beinhaltet häufig das Risiko, dass die Daten geändert, durchgesickert, gelöscht oder kompromittiert werden. Autorisierte Zugriffskontrolle, Schulungen und die Einhaltung von Datenschutzgesetzen können Teil der Lösung für dieses Problem sein, aber beim Schutz und Umgang mit Daten gibt es immer mehr zu beachten.

Cybernews wandte sich an Christopher Wall, den Special Counsel für globale Privatsphäre und Forensik sowie Datenschutzbeauftragter bei HayStackID. Wir sprachen über die komplizierten Prozesse beim Abrufen sensibler digitaler Daten, die für rechtliche Ermittlungen erforderlich sind, sowie über die Rolle der Technologie im Rechtsbereich.

Wie wurde die Idee von HayStackID zum Leben erweckt? Wie war deine Reise seitdem?

Meine Reise war ein langer und nicht traditioneller Ansatz für forensische Untersuchungen. 1998 - eine Woche nach Bestehen der Anwaltschaft - beriet ich einen Technologiekunden zum ersten Mal als Gegenleistung für eine MCSE-Ausbildung, ging dann zur Anwaltspraxis bei BigLaw und verließ schließlich die traditionelle Rechtspraxis, um in die Technologieberatung einzusteigen. Es war eine faszinierende, aufregende und unglaublich unterhaltsame Reise, aber wahrscheinlich keine, die ich zu Beginn meiner Karriere hätte planen können.

Bei HayStackID spezialisieren Sie sich auf eine Praxis namens eDiscovery. Kannst du kurz erklären, wie es funktioniert?

Vieles von dem, was wir bei HayStackID tun, beinhaltet sicherlich eDiscovery, die Komponente der Informationssammlung und des Informationsaustauschs von Rechtsstreitigkeiten. Aber vielleicht genauer gesagt würde ich sagen, dass wir uns bei HayStackID auf elektronische Beweise und elektronische Forensik spezialisiert haben. Unsere tägliche Arbeit umfasst die forensische Aufbewahrung, Erfassung, Extraktion, Suche und Überprüfung elektronischer Daten in Rechtsstreitigkeiten sowie in anderen Kontexten wie Datenschutzverletzungen und anderen Cyber-Ermittlungen, internen Arbeitsuntersuchungen und behördlichen Verfahren. Der Ansatz, den wir in Bezug auf die Chain of Custody, die Anwendung solider Prinzipien der forensischen Analyse usw. verfolgen, ist derselbe, ob in eDiscovery oder in einem anderen Kontext, aber die Anwendungsfälle für unsere Arbeit können wirklich viele verschiedene Formen annehmen. Ein oft unangekündigter Teil dessen, was wir tun, ist auf der Präventionsseite der Gleichung.

Während wir oft für unsere Datensichtarbeit bekannt sind, besteht ein großer Teil unserer Arbeit darin, unseren Kunden dabei zu helfen, die Kosten und Risiken zu reduzieren, denen sie möglicherweise ausgesetzt sind, bevor sie zu einem Rechtsstreit kommen oder bis zu dem Punkt, an dem sie Ermittlungen oder Ermittlungen durchführen müssen. Da wir wissen, wo die Schwachstellen und potenziell teuren Gefahren im Hintergrund liegen, sind wir in einer guten Position, um unseren Kunden dabei zu helfen, proaktive und präventive Pläne für Information Governance (IG), Datenschutz und Sicherheit sowie Datenhygiene umzusetzen, damit sie einige dieser Risiken mindern können, bevor sie auftreten .

Mit welcher Technologie wählen Sie wertvolle Informationen aus riesigen Datenmengen aus?

Es ist nicht ungewöhnlich, dass HayStackID aufgefordert wird, Terabyte an Daten so schnell wie möglich zu sammeln, zu verarbeiten, zu analysieren und zu überprüfen. Zu unseren forensischen Sammelwerkzeugen gehören Cellebrite, XRY und EnCase. Je nach Bedarf verwenden wir auch eine Kombination von Tools, um die gesammelten Daten zu durchsuchen und die relativ wenigen Dateien zu finden, die unsere Kunden wirklich benötigen. Tools wie Nuix, Reveal (Brainspace) und Relativity helfen uns unter anderem bei der Analyse und Überprüfung. Wenn es aufgrund des Datenvolumens und der Art des Falls sinnvoll ist, können wir künstliche Intelligenz, maschinelles Lernen und Analysetools anwenden, um die Daten zu durchsuchen. Aber das sind nur die Tools in unserer Toolbox. Der wahre Wert kommt von den unglaublich klugen und talentierten Leuten in unserem Team, die wissen, wie man diese Tools benutzt.

Wie hat sich die Pandemie auf die Rechtsbranche ausgewirkt? Gab es neue Herausforderungen, an die Sie sich anpassen mussten?

HayStackID war für die Pandemie gut positioniert, da das Unternehmen in den letzten zehn Jahren stark in die Entwicklung und Bereitstellung von Remote-Teams für die Überprüfung virtueller Dokumente, Infrastruktur und Technologiepersonal investiert hat. Die Sache mit der Remote-Arbeit war nicht neu, und in vielerlei Hinsicht bedeuteten die Pandemie und die Lockdowns für HayStackID-Mitarbeiter das übliche Geschäft.

Anwälte lieben traditionell ihre Facetime (tatsächliche persönliche Interaktion mit Mandanten, nicht unbedingt die App). Die Rechtsbranche basiert auf Vertrauen, und auf dieser Grundlage wird das persönliche menschliche Element der Rechtsbranche niemals vollständig verschwinden. Nichtsdestotrotz bot die Pandemie der Anwaltschaft und der breiteren Rechtsbranche die Möglichkeit, über alte Modelle hinauszuwachsen. Virtuelle Meetings ersetzten viele der physischen Besprechungen im Konferenzraum, und ein Silberstreifen der dunklen Pandemiewolke war, dass viele in der Branche untersucht haben, wie effizient persönliche Besprechungen im Vergleich zu virtuellen Besprechungen sein können. In diesem Sinne hat die virtuelle Übung wahrscheinlich dazu beigetragen, die Rückkehr zu persönlichen Besprechungen effizienter und effektiver zu gestalten. Natürlich gibt es auch Kompromisse bei der Produktivität. Wie in vielen anderen Branchen verzeichnete die Rechtsbranche ohne Pendelverkehr und weniger Zeit für Wasserkühler in vielerlei Hinsicht einen Produktivitätsanstieg, auch wenn Fachleute neue Wege fanden, um die persönlichen Anforderungen bei der Arbeit von zu Hause aus in Einklang zu bringen.

Bei einigen der anderen Herausforderungen, die die Pandemie mit sich brachte, musste die Rechtsbranche wie die meisten anderen Branchen Wege finden, um Daten effizienter zu bewegen und mit ihnen zu interagieren. Die Arbeit aus der Ferne stellte logistische, technische und sicherheitstechnische Herausforderungen dar. Vor der Pandemie wurde zum Beispiel ein Großteil unserer computerforensischen Arbeit in einem physischen Labor durchgeführt. Der Bedarf an diesen forensischen Diensten hat sich während der Pandemie sicherlich nicht verlangsamt. Die Pandemie hat uns dazu gebracht, Wege zu finden, viele der gleichen technisch und rechtlich vertretbaren Aufgaben von entfernten Standorten aus auszuführen, anstatt in einem zentralen Labor.

Wir mussten herausfinden, wie wir sicherstellen können, dass jeder über die Hardware und Software verfügt, die er in seiner Remote-Umgebung benötigte, dass er diese Tools in seiner Remote-Umgebung verwenden kann und dies auf sichere Weise tun kann. Die Rechtsbranche befasst sich mit vielen sensiblen, vertraulichen und oft privilegierten Informationen. Während der Pandemie mussten wir einen Weg finden, die Sicherheit dieser Informationen zu gewährleisten, während unsere Fachleute mit diesen Informationen an ihrem Küchentisch arbeiteten. Rückblickend nenne ich das gerne eine „Problemeinheit“. Was wir gelernt haben und welche Methoden wir während der Pandemie entwickelt haben, haben viele in der Branche dazu gebracht, die Informationssicherheit stärker zu berücksichtigen und uns in die Lage zu versetzen, Kunden in Zukunft, nach der Pandemie, besser zu bedienen.

Kompliziert der jüngste Anstieg der Cloud-Lösungen eDiscovery in irgendeiner Weise?

Die meisten IT-Experten sind sich einig, dass Cloud-Lösungen viele große Vorteile bieten. Sie können unter anderem viel leistungsfähiger sein als On-Premise-Lösungen. Sie können dazu beitragen, die IT-Kosten zu senken. Sie können das IT-Management für viele Unternehmen rationalisieren. Sie können dasselbe für eDiscovery tun. Während der Pandemie waren Cloud-Lösungen beispielsweise ein wesentlicher Bestandteil von eDiscovery-Dienstanbietern, da sie eine sehr effiziente Möglichkeit zur Bereitstellung von eDiscovery-Diensten ermöglichten. Vor der Pandemie befasste sich das Kernangebot von HayStackID sowohl auf On-Premise- als auch auf Cloud-Anwendungsfälle. Daher war es für uns eine etwas geringere Änderung, aber für die gesamte Branche war die Umstellung auf die Cloud von entscheidender Bedeutung.

Cloud-Lösungen bringen aber auch neue Risiken und neue Komplikationen mit sich. Einer der großen Vorteile von Cloud-Diensten besteht darin, dass sie es ermöglichen, Daten überall auf der Welt frei dorthin zu übertragen, wo Benutzer sie benötigen. Die Stärke der Cloud ist aber auch ihr komplizierender Faktor. Nicht alle Clouds sind gleich — und unter Datenschutzgesichtspunkten sind auch nicht alle Jurisdiktionen, in denen jede Cloud gehostet wird, gleich. Wir sind uns heute der Privatsphäre von Einzelpersonen viel bewusster, und viel mehr von eDiscovery von heute ist grenzüberschreitender Natur. Wenn wir also eDiscovery mithilfe von Cloud-Ressourcen durchführen, müssen wir jetzt berücksichtigen, wessen Daten in die Cloud gelangen, wie diese Daten sind und wo sich diese Cloud und ihre Backups auf der ganzen Welt befinden. Das kann eine komplizierte Analyse sein, und sobald die Analyse abgeschlossen ist, müssen wir sicherstellen, dass wir über die entsprechenden gesetzlichen Regeln oder Vertragsklauseln verfügen und beurteilen, ob und wie Daten in eine bestimmte Cloud-Umgebung verschoben werden sollten.

Was sind Ihrer Erfahrung nach die häufigsten Gründe, warum sich ein Unternehmen für eDiscovery entscheiden könnte?

Fast das gesamte Geschäft von heute wird elektronisch abgewickelt, und das bedeutet, wenn es eine Frage der Fakten gibt - oder die Frage, wer, was, wann, warum oder wie etwas am Arbeitsplatz passiert ist -, wenden wir uns an die Daten einer Organisation, um Antworten zu erhalten. Aus diesem Grund gibt es wahrscheinlich nicht viele Unternehmen, die heutzutage den Luxus haben, sich für eDiscovery zu entscheiden. Leider wird eDiscovery in der zunehmend streitigen Welt, in der wir leben, einer Organisation in der Regel aufgezwungen, ob sie es will oder nicht. eDiscovery kann teuer sein, und wenn ein Unternehmen im Zusammenhang mit Rechtsstreitigkeiten (oder allgemein in einem anderen Kontext) mit eDiscovery konfrontiert ist, muss es entscheiden, ob eine Proportionale Reaktion beinhaltet die Durchführung von eDiscovery. Wie viele Dinge in der Rechtsbranche ist es eine Abwägungsprüfung. Wenn zum Beispiel die Last oder die Kosten von eDiscovery den wahrscheinlichen Nutzen überwiegen - wenn man bedenkt, was in dem Fall auf dem Spiel steht, wie viel Geld umstritten ist, welche Ressourcen das Unternehmen für eDiscovery benötigt, oder der erwarteten Bedeutung von eDiscovery bei der Lösung der Probleme -, dann eine Organisation kann beschließen, eine Einigung zu erzielen oder anderweitig ein Verhandlungsergebnis

Was sind Ihrer Meinung nach einige der größten Fehler, die Menschen beim Umgang mit sensiblen Daten machen?

Es gibt so viele Dinge, die beim Umgang mit sensiblen Daten schief gehen können, aber Datenschutz kommen einem sofort in den Sinn. Eine Verderbung tritt auf, wenn Daten, die aufbewahrt werden sollen, geändert oder gelöscht werden. Das ist bei Rechtsstreitigkeiten oder Ermittlungen nicht gut, wenn die Integrität der Daten (einschließlich aller Metadaten) von größter Bedeutung ist. Wir sehen es oft: Eine unschuldige Handlung, wie das einfache Verschieben von Dateien von einem Ordner in einen anderen mit guten Absichten oder dem Wunsch zu helfen, könnte die Metadaten einer bestimmten Datei ändern. Diese einfache Handlung könnte dann dazu führen, dass die Echtheit und damit die Nützlichkeit dieser Akte in Frage gestellt werden. Es gibt bewährte Methoden, die viele Cyber-Profis anwenden, um Spoliation zu vermeiden, aber ich denke, alle werden die Tatsache bezeugen, dass diese Methoden nicht immer so angewendet werden, wie sie sein sollten.

Der größere Fehler, den wir insbesondere in den letzten Jahren gesehen haben, besteht darin, dass keine wirksamen Datenschutz- und Sicherheitsrichtlinien und -praktiken vorhanden sind. Aus Sicherheitsgründen können Passwörter und tragbarer Speicher Probleme bereiten, was für die meisten Cyber-Profis keine Überraschung sein sollte. Mitarbeiter tendieren automatisch zu schwachen Passwörtern, sie verwenden dasselbe Passwort für alle Anwendungen und Dienste, oder wenn sie eindeutige Passwörter verwenden, zeichnen sie diese auf und speichern sie an offensichtlichen Orten. Tragbarer Speicher ist problematisch, da das Personal diese Geräte häufig verliert und das Unternehmen möglicherweise nicht weiß, ob das verlorene Gerät vertrauliche Informationen enthielt. In anderen Fällen, in denen das Personal von der Organisation ausgestellte Geräte mit integrierter Sicherheit verwendet, sind die Benutzer frustriert über die Sicherheit und deaktivieren sie aus praktischen Gründen.

Das bringt mich zur Privatsphäre. Unter dem Gesichtspunkt des Datenschutzes scheinen Kalifornien und die EU die ganze Aufmerksamkeit auf sich zu ziehen, aber es gibt eine wachsende Anzahl von Gerichtsbarkeiten in den USA und auf der ganzen Welt, in denen die von mir beschriebenen Sicherheitslücken zu ernsthaften finanziellen Risiken und Reputationsrisiken führen könnten. Aus Sicht des Datenschutzes handelt es sich bei sensiblen Daten häufig um personenbezogene Daten — Informationen, die Einzelpersonen und nicht der Organisation gehören. In vielen Ländern haben Einzelpersonen das Recht, bestimmte Dinge mit diesen Informationen zu tun, auch wenn sich die damit verbundenen Daten tief in einer 20 Jahre alten Oracle-Datenbank befinden oder sich auf einem Pegasus-E-Mail-Backup-Band in einem staubigen Schrank irgendwo befinden. Nicht in der Lage zu sein, auf die Ausübung ihrer Datenschutzrechte durch diese Personen zu reagieren, kann zu hohen EU-Bußgeldern führen, über die alle sprechen. Diese Art von Verstoß einer Organisation könnte zu einer Geldstrafe von 4% des Jahresumsatzes oder 20 Millionen Euro führen, je nachdem, welcher Wert höher ist. Unternehmen müssen wissen, über welche Daten sie verfügen. Dazu gehören auch die 20 Jahre alten Daten, für die das Unternehmen im Rahmen seiner IG-Politik übrigens hoffentlich einen wirklich guten Grund hat, immer noch herumliegen zu müssen. Viele der sich abzeichnenden Datenschutzgesetze auf der ganzen Welt erwarten von Unternehmen, dass sie wissen, über welche Daten sie verfügen, dass sie wissen, wo sie physisch gespeichert sind, und in der Lage sind, die persönlichen Daten von Personen in ihrem Besitz zu identifizieren. Das bedeutet, dass die Organisation eine Datenschutzbewertung durchgeführt hat, die eng mit ihrer IG-Richtlinie verbunden ist. Wirksame Datenschutz- und Sicherheitsrichtlinien mit starker Unterstützung durch Führungskräfte, begleitet von überwachten Praktiken und regelmäßigen Schulungen, sind entscheidend, wenn ein Unternehmen die Sicherheits- und Datenschutzrisiken mindern und die „großen“ Fehler vermeiden möchte.

Welche anderen digitalen Rechtslösungen werden Ihrer Meinung nach neben der Datenermittlung bald alltäglich?

Ich sehe, dass KI und maschinelles Lernen in der Rechtsbranche weiterhin Fortschritte machen. Diese Technologie hat das Potenzial, die Kosten für eDiscovery erheblich zu senken und es Unternehmen letztendlich zu ermöglichen, Dokumente zu Beginn zu klassifizieren und zu organisieren, wodurch das institutionelle Risiko verringert wird, das mit ineffektiven IG-Richtlinien oder -Praktiken verbunden ist.

Das Mining strukturierter Daten, zusätzlich zu oder in Kombination mit unstrukturierten Quellen wie E-Mails, wird immer alltäglicher werden, da Unternehmen versuchen, ein vollständigeres Faktenbild zu zeichnen, indem sie alle ihnen zur Verfügung stehenden Daten verwenden. Wir haben gehört, dass Leute über die Verwendung von Big Data für immer gesprochen haben, aber der eigentliche Fortschritt wird darin bestehen, Daten, die in Zeilen und Spalten gespeichert sind (einschließlich all der Daten, die wir auf den Mobilgeräten haben, die wir in unseren Taschen haben) mit den E-Mail- und Geschäftsdokumenten zu verknüpfen, nach denen wir fast ausschließlich gesucht haben. lang. Die Zusammenführung der beiden wird immer häufiger werden, nicht nur im Bereich eDiscovery und Compliance, und nicht nur in der Rechtsbranche, sondern auch in der Geschäftswelt im Allgemeinen. Ein ganzheitliches Panorama der Aktivitäten eines Unternehmens wird es ihm ermöglichen, bessere, fundiertere und möglicherweise zeitnahere Geschäftsentscheidungen zu treffen.

Schließlich gibt es noch Privatsphäre. Datenschutzbewertungen haben bereits begonnen, da sich Unternehmen zunehmend ihrer rechtlichen Datenschutz- und Sicherheitsverpflichtungen bewusst werden und immer mehr Kunden des Unternehmens davon erwarten. Neben der immer alltäglichen Datenschutz- und Sicherheitsüberprüfungen werden die natürlichen Folgen dieser Bewertungen strengere Passwortanforderungen auf ganzer Linie, Datenanonymisierung - oder Deidentifikation personenbezogener Daten, wenn möglich - und eine genauere Analyse der Subunternehmer eines Unternehmens umfassen. Datenschutz- und Sicherheitspraktiken. Wir werden sehen, dass immer mehr Personen ihre Rechte an ihren persönlichen Daten ausüben, indem sie um Zugriff, Löschung oder Korrektur ihrer persönlichen Daten bitten, die eine Organisation möglicherweise besitzt.

Teilen Sie uns mit, wie geht es weiter mit HayStackID?

HayStackID begann als Unternehmen für Computerforensik und Cyber-Ermittlungen, und die forensischen Prinzipien und Praktiken, die bei dieser Arbeit eingeführt wurden, werden immer im Mittelpunkt unserer Arbeit stehen. Aber während wir in die Zukunft blicken, arbeitet HayStackID daran, die Art und Weise zu verändern, wie Cybersicherheits-, IG- und eDiscovery-Experten über E-Evidence denken. Wir erweitern die Grenzen beim Einsatz von KI, Data Science und maschinellem Lernen und kombinieren diese Technologien mit erfahrenen Gutachtern, um Unternehmen schneller und kostengünstiger als je zuvor umsetzbare Erkenntnisse zu liefern.

Vielleicht noch aufregender ist das, was wir in den Bereichen Datenschutz und Datenschutz tun. Um unseren Kunden zu helfen, Daten auf vertrauliche Informationen von PII und PHI bis hin zu Code-Anomalien bei Datenschutzverletzungen zu analysieren, führen wir Protect Analytics von HayStackID ein. Wenn wir dies mit dem ReviewRight Protect-Angebot von HayStackID kombinieren, können wir die Leistungsfähigkeit von Technologie und menschlicher Überprüfung nutzen und sie direkt auf die Erkennung, Identifizierung, Überprüfung und Benachrichtigung sensibler datenbezogener Verstöße und Anomalien hinweisen.

Während E-Evidence und eDiscovery immer unser Brot und Butter sein werden, freuen wir uns über das, was wir der Branche bieten, um sie für unsere Kunden effektiver, effizienter und kostengünstiger zu machen.

Lesen Sie den Originalartikel.

*Mit Genehmigung geteilt.

Über HayStackID®

HayStackID ist ein spezialisiertes eDiscovery-Dienstleistungsunternehmen, das Unternehmen und Anwaltskanzleien dabei unterstützt, Daten sicher zu finden, zu verstehen und aus ihnen zu lernen, wenn sie mit komplexen, datenintensiven Ermittlungen und Rechtsstreitigkeiten konfrontiert werden. HayStackID mobilisiert branchenführende Cyber-Discovery-Dienste, Unternehmenslösungen und Legal Discovery-Angebote, um mehr als 500 der weltweit führenden Unternehmen und Anwaltskanzleien in Nordamerika und Europa zu bedienen. HayStackID bedient fast die Hälfte der Fortune 100 und ist ein alternativer Cyber- und Rechtsdienstleister, der Fachwissen und technische Exzellenz mit einer Kultur des erstklassigen Kundendienstes kombiniert. Das Unternehmen wurde nicht nur konsequent von Chambers USA eingestuft, sondern kürzlich von IDC MarketScape als weltweit führendes Unternehmen für eDiscovery Services und als repräsentativer Anbieter im Gartner Market Guide for E-Discovery Solutions ausgezeichnet. Darüber hinaus hat HayStackID die SOC 2 Type II-Bescheinigung in den fünf Vertrauensdienstbereichen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz erhalten. Weitere Informationen zu seinen Dienstleistungen, einschließlich Programmen und Lösungen für besondere juristische Unternehmensanforderungen, finden Sie auf HayStackID.com.