Un sondaggio 2020 dall'American Bar Association ha rilevato che il 29% degli studi legali partecipanti ha riscontrato una qualche forma di minaccia alla sicurezza informatica, mentre il 21% non è stato in grado di determinare completamente se si fosse verificato o meno un attacco informatico.
Esempi di queste violazioni della sicurezza informatica includono il furto di dati e lo sfruttamento del sito web. Inoltre, lo studio ha rilevato un aumento del 3% del numero di studi legali che hanno subito minacce alla sicurezza informatica dal 2019 al 2020.
In un momento in cui la pandemia sta causando un aumento delle transazioni commerciali online e delle configurazioni di lavoro a distanza, questi dati dovrebbero essere motivo di preoccupazione non solo per gli studi legali ma anche per i loro clienti. Lo studio riporta un apparente senso di falsa sicurezza tra molti studi legali, considerando che il 70% degli intervistati ritiene che non si siano verificate perdite o interruzioni della propria attività. Tuttavia, come la stessa American Bar Association nota nel sondaggio, "... è naturale chiedersi se le tendenze apparentemente positive riflettano un preoccupante senso di benessere a breve termine in mezzo alla prospettiva di un danno potenzialmente a lungo termine".
As Rivista sulla sicurezza notato in questo 2017 articolo, "le violazioni dei dati criminali costeranno alle aziende un totale di 8 trilioni di dollari nei prossimi 5 anni, a causa di livelli più elevati di connettività Internet e di una sicurezza inadeguata a livello aziendale". Allo stesso modo, una ricerca del 2019 del think tank sulla tecnologia digitale Juniper Research ha previsto che il costo delle perdite aziendali dovute agli attacchi alla sicurezza informatica supererà i $ 5 trilioni entro il 2024.
Perché gli studi legali sono un obiettivo globale per i criminali informatici?
I criminali informatici hanno una particolare affinità per attaccare studi legali a causa del possesso da parte di quest'ultimo di enormi quantità di informazioni sensibili sui clienti e sul settore. Se ottengono l'accesso a queste informazioni, possono usarle per prendere in ostaggio aziende e clienti. Chiederanno quindi il pagamento di un riscatto prima di consentire alle vittime di riappropriarsi dei propri dati. Oppure, se sono in grado di hackerare le credenziali di accesso per i dati bancari e della carta di credito, possono addirittura rubare denaro.
Come verrà mostrato in seguito, i criminali informatici non si allontanano dai grandi studi legali. Negli ultimi anni, ci sono stati diversi casi di importanti studi legali negli Stati Uniti, nel Regno Unito e in Australia attaccati e invasi. Con un'enorme intelligenza a loro disposizione, tra cui informazioni di identificazione personale (PII), informazioni finanziarie e dati di fusioni e acquisizioni (M&A), gli studi legali sono diventati il bersaglio preferito dei criminali informatici.
Questa inclinazione dei criminali informatici ad attaccare gli avvocati è rafforzata dal fatto che gli studi legali generalmente hanno sistemi di sicurezza informatica più deboli rispetto alle aziende di altri settori come la tecnologia. Anche le aziende tecnologiche di piccole dimensioni avrebbero una protezione informatica migliore rispetto ai grandi studi legali. Come segnalati di Attorney at Law Magazine, molti avvocati "sono ancora riluttanti ad assumere esperti di sicurezza informatica per le loro aziende, sia interni che come consulenti, di solito perché non sanno fino a che punto questi tipi di minacce online possono essere dannosi".
In Australia, la debolezza dei sistemi di sicurezza informatica di molti studi legali si riflette in una statistica sbalorditiva che indica che un terzo degli studi legali nel paese non sta stanziando fondi per la formazione sulla sicurezza informatica. Una ricerca di GlobalX e dell'Australian Legal Practice Management Association (ALPMA) ha rivelato una situazione paradossale in cui il 79% degli avvocati è allarmato per la sicurezza informatica, ma solo il 21% si fidava che le proprie aziende fossero in grado di sopravvivere a un attacco informatico. Nonostante la consapevolezza della gravità delle minacce alla sicurezza informatica, il 33% degli studi legali australiani sembra essere coinvolto in una cultura di compiacenza nel settore legale. Come vedremo più avanti nei casi di studio, la posizione meno proattiva che gli studi legali hanno mostrato quando si tratta di sicurezza informatica ha provocato ingenti danni alle loro attività.
Quali tattiche utilizzano i criminali informatici per attaccare gli studi legali?
Malware
Nel 2017, DLA Piper è stata attaccata da un ransomware che ha debilitato migliaia di suoi computer. L'attacco ha costretto DLA Piper a chiudere le sue operazioni digitali a livello globale. I sistemi di posta elettronica e telefono sono stati disabilitati, costringendo avvocati e altri dipendenti a fare affari utilizzando i telefoni cellulari. Inutile dire che è stata una faccenda molto stressante per il personale dell'azienda, considerando che una società legale dipende molto dai documenti per le sue operazioni. Avvocato americano fa un raccordo osservazione dell'effetto negativo dell'attacco ransomware: “Considerate i litigators che non sono in grado di accedere alle mozioni entro una scadenza. Avvocati processuali che si preparano per le discussioni senza documenti chiave. Gli avvocati transazionali non sono in grado di comunicare con i clienti che tentano di concludere affari multimiliardari”.
Phishing
Il Regno Unito è diventato un terreno fertile per gli attacchi di phishing contro gli studi legali dopo i blocchi del 2020 dovuti alla pandemia di COVID-19. La Solicitors Regulation Authority ha individuato un aumento del 300% del phishing anche nei primi due mesi dall'inizio del lockdown. Durante i primi sei mesi del 2020, gli studi legali britannici hanno riferito che i criminali informatici hanno rubato loro quasi 2.5 milioni di sterline, più di tre volte l'importo segnalato nei primi sei mesi del 2019. Uno studio legale ha segnalato una truffa di phishing che ha colpito il loro partner anziano. Un'e-mail di phishing contenente malware è stata mascherata come proveniente da un client. Quando la vittima ha fatto clic sull'allegato, ha inviato immediatamente messaggi di posta elettronica ai contatti del partner senior chiedendo loro di fare clic su un collegamento e fornire le informazioni richieste. Ciò ha portato lo studio legale a chiedere alla propria banca di congelare il proprio conto cliente e a inviare scuse ai clienti interessati.
Furto di identità
Nell'ottobre del 2020, lo studio legale sull'immigrazione Fragomen, Del Rey, Bernsen & Loewy ha avuto accesso non autorizzato ai dati ai file I-9 che contenevano informazioni personali di dipendenti Google passati e presenti. Questo studio legale conduce uno screening di verifica per le aziende per accertare se i loro dipendenti hanno uno status legale sano per lavorare negli Stati Uniti. I file I-9 contengono molti dati riservati tra cui informazioni sul passaporto, patenti di guida e carte d'identità che li rendono una torta dolce per hacker e ladri di identità.
Esempi recenti di attacchi a studi legali
Nel gennaio del 2021, un venditore di Goodwin Procter responsabile dei grandi trasferimenti di file è stato vittima di hacking. Ciò ha consentito ai criminali informatici di accedere ai dati che il fornitore ha supervisionato per l'azienda legale. L'indagine di Goodwin ha concluso che: alcuni dei clienti dello studio legale potrebbero aver ottenuto l'accesso non autorizzato a materiale sensibile, solo una piccola percentuale dei dipendenti di Goodwin è stata interessata e non vi sono prove che indichino che altri beni e operazioni aziendali siano stati influenzati negativamente. Tuttavia, come la principale società di intelligence Law.com note, "alcuni credono che i veri drammi stiano accadendo in privato".
Anche Allens, uno dei più grandi e apprezzati studi legali australiani, è stato vittima di una sofisticata violazione della sicurezza informatica lo scorso gennaio 2021. Secondo quanto riferito, l'attacco è stato avviato su un sistema di trasferimento e archiviazione di file vecchio di due decenni utilizzato da Accellion , una società di sicurezza informatica con sede in California che fornisce servizi di trasferimento e archiviazione di file per grandi aziende, tra cui molti studi legali in tutto il mondo. Accellion ha aggiornato il suo prodotto legacy solo l'anno scorso quando ha scoperto una vulnerabilità nel sistema. In un modo piuttosto ironico, l'ex gestore dell'infrastruttura di Allens Shawn Schmidt è stato citato nel sito Web di Accellion in merito alla scelta della società di sicurezza informatica da parte dello studio legale australiano: "Avremmo potuto facilmente consentire ai dipendenti di utilizzare soluzioni di livello consumer come Dropbox che, a prima vista, avrebbero portato a termine il lavoro. Ma sapevamo che la nostra azienda e i nostri clienti avevano bisogno di qualcosa di cui potersi fidare e su cui fare affidamento".
Jones Day, il decimo più grande studio legale negli Stati Uniti e anche cliente di Accellion, ha riferito lo scorso febbraio 10 che i dati privati dei propri clienti e i file di comunicazione aziendale sono stati violati anche a causa di una vulnerabilità nel file di Accellion, vecchio di due decenni. Apparecchio di trasferimento.
Conclusione
L'indagine sulla sicurezza informatica del 2020 dell'American Bar Association rivela gli ingenti danni che gli studi legali hanno subito a causa di violazioni. Il XNUMX% dei partecipanti allo studio ha segnalato la perdita di ore addebitabili ai propri clienti; il trentanove per cento ha dovuto spendere spese di consulenza per la riparazione; il diciassette percento ha dovuto sostituire l'hardware o il software; il XNUMX percento ha perso l'accesso alla rete; e il dieci percento ha perso l'accesso al proprio sito web.
Gli studi legali devono assumere una posizione più proattiva se vogliono essere in grado di combattere gli attacchi alla sicurezza informatica. Dovrebbero essere in costante comunicazione con il loro fornitore di sicurezza per ricevere le ultime patch e gli aggiornamenti. Anche le società di sicurezza informatica possono cadere nell'autocompiacimento e quindi spetta agli studi legali scegliere con cura i propri fornitori di servizi.
Gli avvocati sanno, prima di tutto, che mantenere la riservatezza delle informazioni è un gold standard nella loro attività. È uno dei fondamenti della reputazione della loro azienda. È la base per sviluppare un rapporto di fiducia con i propri clienti. E offre loro protezione contro le azioni legali per negligenza. Alla fine, gli studi legali dovrebbero cercare di investire in prodotti e servizi di sicurezza informatica all'avanguardia e con recensioni eccellenti.
