2020-kysely American Bar Associationin mukaan 29% osallistuneista asianajotoimistoista koki jonkinlaisen kyberturvallisuusuhan, kun taas 21% ei pystynyt täysin määrittämään, tapahtuiko kyberhyökkäys vai ei.
Esimerkkejä näistä kyberturvallisuusloukkauksista ovat tietojen varastaminen ja verkkosivustojen hyväksikäyttö. Lisäksi tutkimuksessa todettiin, että kyberturvallisuusuhkia kokeneiden asianajotoimistojen määrä kasvoi 3% vuodesta 2019 vuoteen 2020.
Aikana, jolloin pandemia aiheuttaa verkkoliiketoimintojen ja etätyöasennusten lisääntymistä, näiden tietojen pitäisi olla huolenaiheita paitsi asianajotoimistoille myös heidän asiakkailleen. Tutkimus raportoi ilmeisen väärän turvallisuuden tunteen monien asianajotoimistojen keskuudessa, kun otetaan huomioon, että 70% vastaajista uskoi, ettei heidän liiketoimintaansa menetetty tai häiriintynyt. Kuitenkin itse American Bar Association Huomaa tutkimuksessa: "... on luonnollista ihmetellä, heijastavatko näennäisesti myönteiset suuntaukset lyhyellä aikavälillä huolestuttavaa mukavuuden tunnetta mahdollisen pidemmän aikavälin haitan edessä."
As Turvallisuuslehti todettu tässä 2017 artikkeli, "Rikolliset tietomurrot maksavat yrityksille yhteensä 8 biljoonaa dollaria seuraavan viiden vuoden aikana korkeamman Internet -yhteyden tason ja riittämättömän tietoturvan vuoksi." Samoin digitaalitekniikan ajatushautomo Juniper Researchin vuonna 5 tekemä tutkimus ennusti, että kyberturvallisuushyökkäysten aiheuttamat liiketoiminnan menetykset ylittävät 2019 biljoonaa dollaria vuoteen 5 mennessä.
Miksi lakitoimistot ovat maailmanlaajuinen tavoite tietoverkkorikollisille?
Verkkorikolliset ovat erityisen kiinnostuneita hyökkäävät asianajotoimistoihin koska sillä on hallussaan valtavat määrät arkaluonteisia asiakas- ja toimialatietoja. Jos he saavat pääsyn näihin tietoihin, he voivat käyttää niitä ottamaan yritykset ja asiakkaat panttivangeiksi. Sitten he vaativat lunnaiden maksamista, ennen kuin uhrit voivat palauttaa tietonsa. Tai jos he pystyvät murtautumaan pankki- ja luottokorttitietojen kirjautumistietoihin, he voivat varastaa rahaa.
Kuten myöhemmin osoitetaan, tietoverkkorikolliset eivät välttele suuria asianajotoimistoja. Viime vuosina Yhdysvalloissa, Yhdistyneessä kuningaskunnassa ja Australiassa on ollut useita tapauksia, joissa suuria lakiasiaintoimistoja on hyökätty ja hyökätty. Lakitoimistoista on tullut tietoverkkorikollisten suosikkikohde, ja niillä on käytössään valtava älykkyys, mukaan lukien henkilökohtaiset tiedot (PII), taloudelliset tiedot sekä sulautumis- ja hankinta- (M&A) -tiedot.
Tätä tietoverkkorikollisten taipumusta hyökätä lakimiehiä vahvistaa se, että asianajotoimistoilla on yleensä heikompi kyberturvallisuusjärjestelmä kuin muiden alojen yrityksillä, kuten tekniikalla. Jopa pienemmillä teknologiayrityksillä olisi parempi kybersuojaus kuin suurilla asianajotoimistoilla. Kuten raportoitu asianajaja Law Magazinen mukaan monet asianajajat "ovat edelleen haluttomia palkkaamaan kyberturvallisuusasiantuntijoita yrityksiinsä joko sisäisesti tai konsultteina, yleensä koska he eivät tiedä, missä määrin tällaiset online-uhat voivat olla vahingollisia".
Australiassa monien asianajotoimistojen kyberturvallisuusjärjestelmien heikkous heijastuu hämmästyttävään tilastoon, joka osoittaa, että kolmasosa maan asianajotoimistoista ei käytä varoja kyberturvallisuuskoulutukseen. GlobalX: n ja Australian Legal Practice Management Associationin (ALPMA) tekemät tutkimukset paljastivat paradoksaalisen tilanteen, jossa 79% asianajajista on huolissaan kyberturvallisuudesta, mutta vain 21% luotti yrityksiinsä selviytymään kyberhyökkäyksestä. Huolimatta tietoisuudesta kyberturvallisuusuhkien vakavuudesta, 33% australialaisista asianajotoimistoista näyttää joutuneen laillisen alan omahyväisyyden kulttuuriin. Kuten myöhemmin näemme tapaustutkimuksissa, asianajotoimistojen vähemmän ennakoiva asenne kyberturvallisuuden suhteen on aiheuttanut valtavia vahinkoja heidän yrityksilleen.
Mitä taktiikoita verkkorikolliset käyttävät hyökätäkseen asianajotoimistoihin?
haittaohjelmat
Vuonna 2017 DLA Piper hyökkäsi tuhansia sen tietokoneita heikentävän lunnasohjelman kimppuun. Hyökkäys pakotti DLA Piperin lopettamaan digitaalisen toimintansa maailmanlaajuisesti. Sähköposti- ja puhelinjärjestelmät poistettiin käytöstä, pakottaen lakimiehet ja muut työntekijät tekemään liiketoimintaa matkapuhelimilla. On sanomattakin selvää, että se oli erittäin stressaava asia yrityksen henkilöstölle, kun otetaan huomioon, että oikeudellinen yhteisö riippuu suuresti toimintansa asiakirjoista. Amerikkalainen lakimies tekee sovituksen havainto ransomware -hyökkäyksen haitallisista vaikutuksista: ”Ajattele, että oikeudenkäynnit eivät pääse käsiksi ehdotuksiin määräajassa. Oikeudenkäynnin asianajajat valmistautuvat väitteisiin ilman keskeisiä asiakirjoja. Transaktion asianajajat eivät pysty kommunikoimaan asiakkaiden kanssa, jotka yrittävät tehdä useita miljardeja dollareita. ”
Phishing
Yhdistyneestä kuningaskunnasta tuli kasvualusta lakimiesyrityksiä vastaan tehtäville tietojenkalasteluhyökkäyksille vuoden 2020 COVID-19 -pandemian vuoksi. Solicitors Regulation Authority on havainnut, että tietojenkalastelu lisääntyi 300% jopa kahden ensimmäisen kuukauden aikana lukituksen aloittamisen jälkeen. Vuoden 2020 kuuden ensimmäisen kuukauden aikana brittiläiset asianajotoimistot raportoivat, että tietoverkkorikolliset varastivat heiltä lähes 2.5 miljoonaa puntaa, mikä on yli kolme kertaa enemmän kuin vuoden 2019 ensimmäisen kuuden kuukauden aikana. Haittaohjelmia sisältävä tietojenkalastelusähköposti naamioitiin tulevan asiakkaalta. Kun uhri napsautti liitettä, se lähetti välittömästi sähköpostiviestejä vanhemman kumppanin yhteyshenkilöille ja pyysi heitä napsauttamaan linkkiä ja antamaan pyydetyt tiedot. Asianajotoimisto pyysi pankkiaan jäädyttämään asiakastilinsä ja lähetti anteeksipyynnön asianomaisille asiakkaille.
identity Theft
Lokakuussa 2020 maahanmuuttolakitoimisto Fragomen, Del Rey, Bernsen & Loewy koki luvattoman pääsyn I-9-tiedostoihin, jotka sisälsivät Googlen entisten ja nykyisten työntekijöiden henkilökohtaisia tietoja. Tämä asianajotoimisto tekee yrityksille todentamistarkastuksia varmistaakseen, onko heidän työntekijöillään terve oikeudellinen asema työskennelläkseen Yhdysvalloissa. I-9-tiedostot sisältävät paljon luottamuksellisia tietoja, mukaan lukien passitiedot, ajokortit ja henkilökortit, mikä tekee niistä makean piirakan hakkereille ja identiteettivarkaille.
Viimeaikaisia esimerkkejä lakitoimistoihin kohdistuneista hyökkäyksistä
Tammikuussa 2021 suurten tiedostojen siirroista vastaava Goodwin Procterin myyjä joutui hakkeroinnin uhriksi. Tämä mahdollisti tietoverkkorikollisten pääsyn tietoihin, joita myyjä valvoi lakiasiaintoimistolle. Goodwinin tutkimuksessa todettiin, että: jotkut asianajotoimiston asiakkaat olisivat voineet saada luvattoman pääsyn arkaluonteiseen materiaaliin, vain pieni osa Goodwinin työntekijöistä vaikutti asiaan, eikä ollut näyttöä siitä, että muut varat ja liiketoiminta vaikuttaisivat kielteisesti. Kuitenkin, kuten suuri tiedusteluyhtiö Law.com muistiinpanot"Jotkut uskovat, että todelliset draamat tapahtuvat yksityisesti."
Allens, yksi suurimmista ja arvostetuimmista australialaisista asianajotoimistoista, joutui myös hienostuneen kyberturvallisuusrikkomuksen uhriksi viime tammikuussa 2021. Hyökkäyksen kerrottiin saaneen alkunsa kaksikymmentä vuotta vanhasta Accellionin käyttämästä tiedostonsiirto- ja tallennusjärjestelmästä. , Kaliforniassa toimiva kyberturvallisuusyritys, joka tarjoaa tiedostonsiirto- ja tallennuspalveluja suurille yrityksille, mukaan lukien monet lailliset yritykset ympäri maailmaa. Accellion päivitti vanhan tuotteensa vasta viime vuonna, kun se havaitsi järjestelmässä haavoittuvuuden. Allensin entinen infrastruktuurin haltija Shawn Schmidt lainattiin Accellionin verkkosivustolla melko kielellisellä tavalla Australian lakiasiaintoimiston kyberturvallisuusyrityksen valinnasta: ”Olisimme helposti voineet antaa työntekijöiden käyttää kuluttajaluokan ratkaisuja, kuten Dropboxia, jotka pinnalla olisivat tehneet työn. Mutta tiesimme, että yrityksemme ja asiakkaamme tarvitsevat jotain, johon he voivat luottaa ja joihin voi luottaa. ”
Jones Day, Yhdysvaltojen kymmenes suurin asianajotoimisto ja myös Accellionin asiakas, ilmoitti viime helmikuussa 10, että heidän asiakkaidensa yksityiset tiedot sekä yrityksen viestintätiedostot hakkeroitiin myös Accellionin kahden vuosikymmenen vanhan tiedoston haavoittuvuuden vuoksi. Siirtolaite.
Yhteenveto
Amerikkalaisen asianajajaliiton vuoden 2020 kyberturvallisuustutkimus paljastaa, että asianajotoimistot ovat kokeneet suuria vahinkoja rikkomusten vuoksi. XNUMX prosenttia tutkimuksen osallistujista ilmoitti veloitettavien tuntien menetyksestä asiakkailleen; kolmekymmentäyhdeksän prosenttia joutui käyttämään neuvontapalkkiot korjauksesta; XNUMX prosenttia joutui vaihtamaan laitteistonsa tai ohjelmistonsa; XNUMX prosenttia menetti verkkoyhteytensä; ja kymmenen prosenttia menetti pääsyn verkkosivustoilleen.
Lakitoimistojen on omaksuttava ennakoivampi kanta voidakseen torjua kyberturvallisuushyökkäyksiä. Heidän tulee olla jatkuvasti yhteydessä tietoturvatarjoajaansa saadakseen viimeisimmät korjaukset ja päivitykset. Jopa kyberturvallisuusyritykset voivat olla tyytymättömiä, joten asianajotoimistojen on valittava palveluntarjoajansa huolellisesti.
Lakimiehet tietävät ennen kaikkea, että tietojen luottamuksellisuuden pitäminen on heidän liiketoiminnassaan kultainen standardi. Se on yksi yrityksen maineen perusta. Se on perusta luottamussuhteen kehittämiselle asiakkaiden kanssa. Ja se suojaa heitä väärinkäytöksiä vastaan. Lopulta asianajotoimistojen tulisi investoida kyberturvallisuustuotteisiin ja -palveluihin, jotka ovat huippuluokkaa ja joilla on erinomaiset arvostelut.