Survei 2020 oleh American Bar Association menemukan bahwa 29% dari kantor hukum yang berpartisipasi menghadapi beberapa bentuk ancaman keamanan siber, sementara 21% tidak dapat sepenuhnya menentukan apakah serangan siber telah terjadi atau tidak.
Contoh pelanggaran keamanan siber ini termasuk pencurian data dan eksploitasi situs web. Lebih lanjut, studi tersebut menemukan bahwa ada peningkatan 3% dalam jumlah firma hukum yang mengalami ancaman keamanan siber dari 2019 hingga 2020.
Pada saat pandemi menyebabkan peningkatan transaksi bisnis online dan pengaturan kerja jarak jauh, data ini harus menjadi perhatian tidak hanya untuk kantor hukum tetapi juga untuk klien mereka. Studi ini melaporkan adanya rasa aman palsu di antara banyak kantor hukum mengingat 70% responden percaya bahwa tidak ada kerugian atau gangguan terhadap bisnis mereka. Namun, sebagai Asosiasi Pengacara Amerika sendiri catat dalam survei, “… wajar untuk bertanya-tanya apakah tren yang tampaknya positif mencerminkan rasa nyaman yang mengganggu dalam jangka pendek di tengah prospek potensi bahaya jangka panjang.”
As Majalah Keamanan dicatat di 2017 ini artikel, “pelanggaran data kriminal akan merugikan bisnis dengan total $8 triliun selama 5 tahun ke depan, karena tingkat konektivitas Internet yang lebih tinggi dan keamanan perusahaan yang tidak memadai.” Demikian pula, penelitian 2019 oleh think tank teknologi digital Juniper Research memperkirakan bahwa biaya kerugian bisnis akibat serangan keamanan siber akan melewati $ 5 triliun pada tahun 2024.
Mengapa Firma Hukum Menjadi Target Global Penjahat Siber?
Penjahat dunia maya memiliki ketertarikan khusus untuk menyerang firma hukum karena yang terakhir memiliki sejumlah besar klien sensitif dan informasi industri. Jika mereka mendapatkan akses ke informasi ini, mereka dapat menggunakannya untuk menyandera perusahaan dan klien. Mereka kemudian akan menuntut uang tebusan yang harus dibayar sebelum memungkinkan para korban untuk mendapatkan kembali kepemilikan data mereka. Atau jika mereka dapat meretas kredensial masuk untuk detail perbankan dan kartu kredit, mereka dapat langsung mencuri uang.
Seperti yang akan ditunjukkan nanti, penjahat dunia maya tidak menghindar dari firma Hukum Besar. Dalam beberapa tahun terakhir, ada beberapa kasus firma hukum besar di AS, Inggris, dan Australia diserang dan diserang. Dengan kecerdasan besar yang mereka miliki termasuk informasi pengenal pribadi (PII), informasi keuangan, dan data merger dan akuisisi (M&A), firma hukum telah menjadi target favorit bagi penjahat dunia maya.
Kecenderungan penjahat siber untuk menyerang pengacara diperkuat oleh fakta bahwa firma hukum umumnya memiliki sistem keamanan siber yang lebih lemah dibandingkan dengan perusahaan di industri lain seperti teknologi. Bahkan perusahaan teknologi berukuran lebih kecil akan memiliki perlindungan siber yang lebih baik daripada firma hukum besar. Sebagai melaporkan oleh Pengacara di Majalah Hukum, banyak pengacara “masih enggan mempekerjakan ahli keamanan siber untuk perusahaan mereka, baik internal maupun sebagai konsultan, biasanya karena mereka tidak menyadari sejauh mana jenis ancaman online ini dapat merusak.”
Di Australia, kelemahan dalam banyak sistem keamanan siber firma hukum tercermin dalam statistik mengejutkan yang menunjukkan bahwa sepertiga firma hukum di negara tersebut tidak mengalokasikan dana untuk pelatihan keamanan siber. Penelitian oleh GlobalX dan Asosiasi Manajemen Praktik Hukum Australia (ALPMA) mengungkapkan situasi paradoks di mana 79% pengacara khawatir tentang keamanan dunia maya, tetapi hanya 21% yang memercayai perusahaan mereka untuk dapat bertahan dari serangan dunia maya. Terlepas dari kesadaran akan keseriusan ancaman keamanan siber, 33% firma hukum Australia tampaknya terjebak dalam budaya berpuas diri dalam industri hukum. Seperti yang akan kita lihat nanti dalam studi kasus, sikap kurang proaktif yang ditunjukkan firma hukum dalam hal keamanan siber telah mengakibatkan kerusakan besar pada bisnis mereka.
Taktik Apa yang Digunakan Penjahat Cyber untuk Menyerang Firma Hukum?
malware
Pada tahun 2017, DLA Piper diserang oleh ransomware yang melumpuhkan ribuan komputernya. Serangan itu memaksa DLA Piper untuk menutup operasi digitalnya secara global. Sistem email dan telepon dinonaktifkan, memaksa pengacara dan karyawan lain untuk melakukan bisnis menggunakan ponsel. Tak perlu dikatakan, itu adalah urusan yang sangat menegangkan bagi staf perusahaan mengingat perusahaan hukum sangat bergantung pada dokumen untuk operasinya. Pengacara Amerika membuat pas pengamatan tentang efek buruk serangan ransomware: “Pertimbangkan litigator tidak dapat mengakses mosi pada tenggat waktu. Pengacara persidangan mempersiapkan argumen tanpa dokumen kunci. Pengacara transaksional tidak dapat berkomunikasi dengan klien yang mencoba untuk menutup transaksi bernilai miliaran dolar.”
phishing
Inggris menjadi tempat berkembang biaknya serangan phishing terhadap firma hukum setelah penguncian tahun 2020 karena pandemi COVID-19. Otoritas Regulasi Pengacara telah mengidentifikasi peningkatan 300% dalam phishing bahkan dalam dua bulan pertama sejak penguncian dimulai. Selama enam bulan pertama tahun 2020, firma hukum Inggris melaporkan bahwa penjahat dunia maya mencuri hampir 2.5 juta pound dari mereka, lebih dari tiga kali lipat jumlah yang dilaporkan dalam enam bulan pertama tahun 2019. Satu firma hukum melaporkan penipuan phishing yang mengorbankan mitra senior mereka. Email phishing yang berisi malware disamarkan sebagai berasal dari klien. Ketika korban mengklik lampiran, itu langsung mengirim pesan email ke kontak mitra senior meminta mereka untuk mengklik link dan memberikan informasi yang diminta. Hal ini mengakibatkan firma hukum meminta banknya untuk membekukan akun kliennya dan mengirimkan permintaan maaf kepada klien yang terkena dampak.
Pencurian identitas
Pada bulan Oktober 2020, firma hukum imigrasi Fragomen, Del Rey, Bernsen & Loewy mengalami akses data tidak sah ke file I-9 yang berisi informasi pribadi karyawan Google dulu dan sekarang. Firma hukum ini melakukan penyaringan verifikasi bagi perusahaan untuk memastikan apakah karyawan mereka memiliki status hukum yang sehat untuk bekerja di Amerika Serikat. File I-9 membawa banyak data rahasia termasuk informasi paspor, SIM, dan kartu ID yang menjadikannya kue manis bagi peretas dan pencuri identitas.
Contoh Serangan Terbaru terhadap Firma Hukum
Pada Januari 2021, vendor Goodwin Procter yang bertanggung jawab atas transfer file besar menjadi korban peretasan. Ini memungkinkan penjahat dunia maya untuk mendapatkan akses ke data yang diawasi vendor untuk korporasi hukum. Investigasi Goodwin menyimpulkan bahwa: beberapa klien firma hukum dapat memperoleh akses tidak sah ke materi sensitif, hanya sebagian kecil karyawan Goodwin yang terpengaruh, dan tidak ada bukti yang menunjukkan bahwa aset dan operasi bisnis lainnya terkena dampak negatif. Namun, sebagai perusahaan intelijen utama Law.com catatan, “Beberapa orang percaya bahwa drama yang sebenarnya terjadi secara pribadi.”
Allens, salah satu firma hukum Australia terbesar dan paling dihormati, juga menjadi korban pelanggaran keamanan siber canggih Januari 2021 lalu. Serangan itu dilaporkan dimulai pada transfer file dan sistem penyimpanan berusia dua dekade yang digunakan oleh Accellion , perusahaan keamanan siber yang berbasis di California yang menyediakan layanan transfer dan penyimpanan file untuk perusahaan besar termasuk banyak firma hukum di seluruh dunia. Accellion hanya memperbarui produk lawasnya tahun lalu ketika menemukan kerentanan dalam sistem. Dengan cara yang agak berbelit-belit, mantan manajer infrastruktur Allens Shawn Schmidt dikutip di situs web Accellion mengenai pilihan firma hukum Australia atas perusahaan keamanan siber: “Kami dapat dengan mudah mengizinkan karyawan untuk menggunakan solusi tingkat konsumen seperti Dropbox yang, di permukaan, akan menyelesaikan pekerjaan. Tetapi kami tahu perusahaan kami dan klien kami membutuhkan sesuatu yang dapat mereka percayai dan andalkan.”
Jones Day, firma hukum terbesar ke-10 di Amerika Serikat dan juga klien Accellion, melaporkan Februari 2021 lalu bahwa data pribadi dari klien mereka serta file komunikasi perusahaan diretas juga karena kerentanan dalam File Accellion yang berusia dua dekade. Alat Pemindahan.
Kesimpulan
Survei keamanan siber tahun 2020 oleh American Bar Association mengungkapkan kerusakan luas yang dialami firma hukum karena pelanggaran. Tiga puluh lima persen dari peserta dalam penelitian ini melaporkan hilangnya jam yang dikenakan biaya kepada klien mereka; tiga puluh sembilan persen harus mengeluarkan biaya konsultasi untuk perbaikan; tujuh belas persen harus mengganti perangkat keras atau perangkat lunak mereka; dua puluh tiga persen kehilangan akses jaringan mereka; dan sepuluh persen kehilangan akses ke situs web mereka.
Firma hukum perlu mengambil sikap yang lebih proaktif jika mereka ingin dapat memerangi serangan keamanan siber. Mereka harus terus berkomunikasi dengan penyedia keamanan mereka untuk menerima tambalan dan pembaruan terbaru. Bahkan perusahaan keamanan siber dapat terlena dan terserah firma hukum untuk hati-hati memilih penyedia layanan mereka.
Pengacara tahu, pertama dan terutama, bahwa menjaga kerahasiaan informasi adalah standar emas dalam bisnis mereka. Ini adalah salah satu dasar dari reputasi perusahaan mereka. Ini adalah dasar untuk mengembangkan hubungan kepercayaan dengan klien mereka. Dan itu memberi mereka perlindungan terhadap tuntutan hukum malpraktik. Pada akhirnya, firma hukum harus berinvestasi dalam produk dan layanan keamanan siber yang mutakhir dan memiliki ulasan yang sangat baik.
