En undersøgelse i 2020 af American Bar Association fandt ud af, at 29% af de deltagende advokatkontorer stødte på en form for cybersikkerhedstrussel, mens 21% ikke helt kunne afgøre, om et cyberangreb var sket eller ej.
Eksempler på disse cybersikkerhedsbrud omfatter datatyveri og udnyttelse af websteder. Desuden fandt undersøgelsen, at der var en stigning på 3% i antallet af advokatfirmaer, der oplevede cybersikkerhedstrusler fra 2019 til 2020.
På et tidspunkt, hvor pandemien forårsager en stigning i online forretningstransaktioner og fjerntliggende arbejdsopsætninger, bør disse data ikke kun være årsag til bekymring for advokatkontorer, men også for deres kunder. Undersøgelsen rapporterer en tilsyneladende følelse af falsk sikkerhed blandt mange advokatkontorer i betragtning af, at 70% af respondenterne mente, at der ikke skete tab eller afbrydelse af deres forretning. Dog som American Bar Association selv bemærk i undersøgelsen, "... det er kun naturligt at spekulere på, om de tilsyneladende positive tendenser afspejler en bekymrende følelse af komfort på kort sigt midt i udsigten til en potentielt længerevarende skade."
As Sikkerhedsmagasin noteret i 2017 artikel, "Krænkelser af kriminelle data vil koste virksomheder i alt $ 8 billioner i løbet af de næste 5 år på grund af højere niveauer af internetforbindelse og utilstrækkelig virksomhedsomfattende sikkerhed." På samme måde forudsagde en 2019 -forskning af digital teknologi tænketank Juniper Research, at omkostningerne ved virksomhedstab på grund af cybersikkerhedsangreb vil passere 5 billioner dollars i 2024.
Hvorfor er advokatfirmaer et globalt mål for cyberkriminelle?
Cyberkriminelle har en særlig affinitet til angriber advokatfirmaer på grund af sidstnævntes besiddelse af enorme mængder følsom klient- og brancheinformation. Hvis de får adgang til disse oplysninger, kan de bruge dem til at tage virksomheder og klienter som gidsel. De vil derefter kræve en løsesum, der skal betales, før ofrene kan genvinde besiddelse af deres data. Eller hvis de er i stand til at hacke sig ind på loginoplysninger til bank- og kreditkortoplysninger, kan de direkte stjæle penge.
Som det vil blive vist senere, skyer cyberkriminelle ikke fra store advokatfirmaer. I de senere år har der været flere tilfælde af større juridiske firmaer i USA, Storbritannien og Australien, der er blevet angrebet og invaderet. Med enorm intelligens til rådighed, herunder personligt identificerbare oplysninger (PII), finansielle oplysninger og fusion og erhvervelse (M&A), er juridiske firmaer blevet et yndet mål for cyber -skurke.
Denne tilbøjelighed fra cyberkriminelle til at angribe advokater styrkes af, at advokatfirmaer generelt har svagere cybersikkerhedssystemer sammenlignet med virksomheder i andre brancher som tech. Selv mindre tech-virksomheder ville have bedre cyberbeskyttelse end store advokatfirmaer. Som rapporteret af Attorney at Law Magazine, er mange advokater "stadig tilbageholdende med at ansætte cybersikkerhedseksperter til deres firmaer, enten internt eller som konsulenter, normalt fordi de ikke er klar over, i hvilket omfang disse former for online trusler kan være skadelige."
I Australien afspejles svagheden i mange advokatfirmaers cybersikkerhedssystemer i en svimlende statistik, der indikerer, at en tredjedel af advokatfirmaer i landet ikke tildeler midler til uddannelse i cybersikkerhed. Undersøgelser foretaget af GlobalX og Australian Legal Practice Management Association (ALPMA) afslørede en paradoksal situation, hvor 79% af advokaterne er bekymrede over cybersikkerhed, men kun 21% havde tillid til, at deres virksomheder kunne overleve et cyberangreb. På trods af en bevidsthed om alvoret med cybersikkerhedstrusler ser det ud til, at 33% af australske advokatfirmaer er fanget i en kultur af selvtilfredshed i den juridiske industri. Som vi vil se senere i casestudier, har den mindre proaktive holdning, som advokatfirmaer har vist, når det kommer til cybersikkerhed, resulteret i massive skader på deres virksomheder.
Hvilken taktik bruger cyberkriminelle til at angribe advokatfirmaer?
malware
I 2017 blev DLA Piper angrebet af en ransomware, der ødelagde tusinder af dets computere. Angrebet tvang DLA Piper til at lukke sine digitale operationer globalt. E -mail- og telefonsystemerne blev deaktiveret, hvilket tvang advokater og andre medarbejdere til at handle med mobiltelefoner. Det var overflødigt at sige, at det var en meget stressende affære for virksomhedens personale, da man tænker på, at et juridisk selskab er stærkt afhængigt af dokumenter til sine aktiviteter. Amerikansk advokat laver en montering observation af den negative virkning af ransomware -angrebet: “Overvej retssager, der ikke kan få adgang til forslag på en deadline. Trialjurister forbereder sig på argumenter uden nøgledokumenter. Transaktionsadvokater er ude af stand til at kommunikere med kunder, der forsøger at lukke aftaler på flere milliarder dollars. ”
Phishing
Det Forenede Kongerige blev grobund for phishing-angreb mod advokatfirmaer efter lockdownerne i 2020 på grund af COVID-19-pandemien. Solicitors Regulation Authority har identificeret en stigning på 300% i phishing, selv i de første to måneder siden lockdown blev indledt. I løbet af de første seks måneder af 2020 rapporterede britiske advokatfirmaer, at cyberkriminelle stjal næsten 2.5 millioner pund fra dem, mere end tre gange det beløb, der blev rapporteret i de første seks måneder af 2019. Et advokatfirma rapporterede om en phishing -fidus, der ofrede deres seniorpartner. En phishing -e -mail, der indeholder malware, var forklædt som at komme fra en klient. Da offeret klikkede på vedhæftede filer, sendte det øjeblikkeligt e -mail -beskeder til seniorpartnerens kontakter og bad dem klikke på et link og give de ønskede oplysninger. Dette resulterede i, at advokatfirmaet bad sin bank om at fastfryse sin klientkonto og sende en undskyldning til de berørte kunder.
Identity Theft
I oktober 2020 oplevede immigrationsadvokatfirmaet Fragomen, Del Rey, Bernsen & Loewy uautoriseret datatilgang til I-9-filer, der indeholdt personlige oplysninger om tidligere og nuværende Google-medarbejdere. Dette advokatfirma foretager verifikationsscreening for virksomheder for at fastslå, om deres medarbejdere har en sund juridisk status for at arbejde i USA. I-9 filer indeholder mange fortrolige data, herunder pasoplysninger, kørekort og ID-kort, hvilket gør dem til en sød tærte for hackere og identitetstyve.
Nylige eksempler på angreb på advokatfirmaer
I januar 2021 blev en sælger til Goodwin Procter med ansvar for store filoverførsler offer for hacking. Dette gjorde det muligt for cyberkriminelle at få adgang til data, som sælgeren havde tilsyn med for juridisk virksomhed. Goodwins undersøgelse konkluderede, at: nogle af advokatfirmaets klienter kunne have fået uautoriseret adgang til følsomt materiale, kun en lille procentdel af Goodwin -ansatte blev berørt, og der var intet bevis for, at andre aktiver og forretningsdrift blev påvirket negativt. Dog som det store efterretningsfirma Law.com noter, "Nogle mener, at de virkelige dramaer foregår privat."
Allens, et af de største og mest ansete australske advokatfirmaer, var også offer for et sofistikeret cybersikkerhedsbrud i januar 2021 sidste år. Angrebet blev angiveligt indledt på et to årtier gammelt filoverførsels- og lagringssystem, der blev brugt af Accellion , et i Californien baseret cybersikkerhedsfirma, der leverer filoverførsel og lagringstjeneste til store virksomheder, herunder mange juridiske firmaer rundt om i verden. Accellion opdaterede først sit ældre produkt sidste år, da det opdagede en sårbarhed i systemet. På en temmelig tung-i-kind-måde blev tidligere Allens infrastrukturforvalter Shawn Schmidt citeret på Accellions websted om det australske advokatfirmas valg af cybersikkerhedsvirksomheden: ”Vi kunne let have givet medarbejderne mulighed for at bruge forbrugsløsninger som Dropbox, der på overfladen ville have klaret arbejdet. Men vi vidste, at vores firma og vores kunder havde brug for noget, de kunne stole på og stole på. ”
Jones Day, det tiende største advokatfirma i USA og også en klient hos Accellion, rapporterede sidste februar 10, at private data fra deres klienter samt virksomhedskommunikationsfiler også blev hacket på grund af en sårbarhed i Accellions to årti gamle fil Overføringsapparat.
Konklusion
Cybersikkerhedsundersøgelsen fra 2020 fra American Bar Association afslører den omfattende skade, advokatfirmaer har oplevet på grund af overtrædelser. XNUMX procent af deltagerne i undersøgelsen rapporterede tab af afgiftspligtige timer til deres kunder; tredive ni procent måtte bruge konsultationsgebyrer til reparation; sytten procent måtte udskifte enten deres hardware eller software; treogtyve procent mistede deres netadgang; og ti procent mistede adgangen til deres websted.
Advokatfirmaer skal tage en mere proaktiv holdning, hvis de skal kunne bekæmpe cybersikkerhedsangreb. De bør være i konstant kommunikation med deres sikkerhedsudbyder for at modtage de nyeste patches og opdateringer. Selv cybersikkerhedsvirksomheder kan falde til selvtilfredshed, og derfor er det op til advokatfirmaer omhyggeligt at vælge deres tjenesteudbydere.
Advokater ved først og fremmest, at fortrolige oplysninger er en guldstandard i deres forretning. Det er et af grundlaget for deres firmas ry. Det er grundlaget for at udvikle et tillidsforhold til deres kunder. Og det giver dem beskyttelse mod retssager mod fejlbehandling. I sidste ende bør advokatfirmaer søge at investere i cybersikkerhedsprodukter og -tjenester, der er banebrydende og har fremragende anmeldelser.
