En 2020-undersøkelse av American Bar Association fant at 29% av de deltakende advokatkontorene møtte en form for cybersikkerhetstrussel, mens 21% ikke helt kunne avgjøre om et cyberangrep hadde skjedd eller ikke.
Eksempler på disse bruddene på cybersikkerhet inkluderer datatyveri og utnyttelse av nettsteder. Videre fant studien at det var en økning på 3% i antall advokatfirmaer som opplevde trusler mot cybersikkerhet fra 2019 til 2020.
I en tid da pandemien forårsaker en økning i online forretningstransaksjoner og eksterne arbeidsoppsett, bør disse dataene være bekymringsfulle, ikke bare for advokatkontorer, men også for deres kunder. Studien rapporterer en tilsynelatende følelse av falsk sikkerhet blant mange advokatkontorer med tanke på at 70% av respondentene mente at det ikke oppsto tap eller avbrudd i virksomheten. Imidlertid, som American Bar Association selv bemerk i undersøkelsen, "... det er helt naturlig å lure på om de tilsynelatende positive trendene gjenspeiler en bekymringsfull følelse av komfort på kort sikt blant utsiktene til en potensielt lengre sikt skade."
As Sikkerhetsmagasin bemerket i 2017 Artikkel"" Brudd på kriminelle data vil koste virksomheter totalt 8 billioner dollar i løpet av de neste 5 årene, på grunn av høyere nivåer av Internett -tilkobling og utilstrekkelig virksomhetsomfattende sikkerhet. " På samme måte spådde en forskning fra digital teknologi tenketanken Juniper Research fra 2019 at kostnadene ved tap av virksomhet på grunn av cybersikkerhetsangrep vil passere 5 billioner dollar innen 2024.
Hvorfor er advokatfirmaer et globalt mål for nettkriminelle?
Nettkriminelle har en spesiell tilhørighet til angriper advokatfirmaer på grunn av sistnevntes besittelse av enorme mengder sensitiv klient- og bransjeinformasjon. Hvis de får tilgang til denne informasjonen, kan de bruke den til å ta selskaper og klienter som gisler. De vil deretter kreve at løsepenger skal betales før ofrene får tilbake besittelsen av dataene sine. Eller hvis de er i stand til å hacke seg inn påloggingsinformasjon for bank- og kredittkortdetaljer, kan de direkte stjele penger.
Som det vil bli vist senere, skyer ikke nettkriminelle unna store advokatfirmaer. De siste årene har det vært flere tilfeller av store juridiske firmaer i USA, Storbritannia og Australia som ble angrepet og invadert. Med enorm intelligens til rådighet, inkludert personlig identifiserbar informasjon (PII), finansiell informasjon og fusjons- og oppkjøpsdata (M&A), har advokatfirmaer blitt et favorittmål for cyber -skurker.
Denne tilbøyeligheten til cyberkriminelle til å angripe advokater styrkes av det faktum at advokatfirmaer generelt har svakere cybersikkerhetssystemer sammenlignet med selskaper i andre bransjer som teknologi. Selv mindre teknologiselskaper ville ha bedre cyberbeskyttelse enn store advokatfirmaer. Som rapportert av Attorney at Law Magazine, er mange advokater "fortsatt motvillige til å ansette cybersikkerhetseksperter for firmaene sine, enten internt eller som konsulenter, vanligvis fordi de ikke er klar over i hvilken grad slike trusler på nettet kan være skadelige."
I Australia gjenspeiles svakheten i mange advokatfirmaers cybersikkerhetssystemer i en svimlende statistikk som indikerer at en tredjedel av advokatfirmaene i landet ikke bevilger midler til cybersikkerhetstrening. Forskning fra GlobalX og Australian Legal Practice Management Association (ALPMA) avslørte en paradoksal situasjon der 79% av advokatene er bekymret for cybersikkerhet, men bare 21% stolte på at selskapene deres kunne overleve et cyberangrep. Til tross for en bevissthet om alvoret med trusler mot cybersikkerhet, ser det ut til at 33% av australske advokatfirmaer er fanget av en kultur for selvtilfredshet i den juridiske industrien. Som vi vil se senere i casestudier, har den mindre proaktive holdningen advokatfirmaer har vist når det gjelder cybersikkerhet resultert i massive skader på virksomhetene deres.
Hvilken taktikk bruker nettkriminelle for å angripe advokatfirmaer?
malware
I 2017 ble DLA Piper angrepet av en ransomware som ødela tusenvis av datamaskinene. Angrepet tvang DLA Piper til å legge ned sin digitale virksomhet globalt. E -post- og telefonsystemene ble deaktivert, noe som tvang advokater og andre ansatte til å gjøre forretninger ved hjelp av mobiltelefoner. Unødvendig å si at det var en veldig belastende affære for selskapets ansatte med tanke på at et juridisk selskap er sterkt avhengig av dokumenter for driften. Amerikansk advokat gjør en montering observasjon om den negative virkningen av ransomware -angrepet: “Vurder at rettssaker ikke får tilgang til forslag på en frist. Trialjurister forbereder seg på argumenter uten viktige dokumenter. Transaksjonelle advokater klarer ikke å kommunisere med klienter som prøver å lukke avtaler på flere milliarder dollar. ”
Phishing
Storbritannia ble grobunn for phishing-angrep mot advokatfirmaer etter nedleggelsene i 2020 på grunn av COVID-19-pandemien. Solicitors Regulation Authority har identifisert en økning på 300% i phishing selv i de to første månedene siden lockdown ble startet. I løpet av de første seks månedene av 2020 rapporterte britiske advokatfirmaer at cyberkriminelle stjal nesten 2.5 millioner pund fra dem, mer enn tre ganger beløpet som ble rapportert i de første seks månedene av 2019. Et advokatfirma rapporterte en phishing -svindel som gjorde deres seniorpartner offer. En phishing -e -post som inneholdt skadelig programvare ble forkledd som en klient. Når offeret klikket på vedlegget, sendte det øyeblikkelig e -postmeldinger til seniorpartnerens kontakter og ba dem klikke på en lenke og gi forespurt informasjon. Dette resulterte i at advokatfirmaet ba banken om å fryse sin kundekonto og sende en unnskyldning til de berørte kundene.
Identity Theft
I oktober 2020 opplevde immigrasjonsadvokatfirmaet Fragomen, Del Rey, Bernsen & Loewy uautorisert datatilgang til I-9-filer som inneholdt personlig informasjon om tidligere og nåværende Google-ansatte. Dette advokatfirmaet utfører verifiseringsscreening for selskaper for å finne ut om deres ansatte har en sunn juridisk status for å jobbe i USA. I-9-filer inneholder mange konfidensielle data, inkludert passinformasjon, førerkort og ID-kort, noe som gjør dem til en søt kake for hackere og identitetstyver.
Nylige eksempler på angrep på advokatfirmaer
I januar 2021 ble en leverandør til Goodwin Procter med ansvar for store filoverføringer offer for hacking. Dette gjorde det mulig for nettkriminelle å få tilgang til data som leverandøren hadde tilsyn med for juridiske selskaper. Goodwins undersøkelse konkluderte med at: noen av advokatfirmaets klienter kunne ha fått uautorisert tilgang til sensitivt materiale, bare en liten prosentandel av Goodwin -ansatte ble påvirket, og det var ingen bevis som indikerte at andre eiendeler og forretningsdrift ble påvirket negativt. Imidlertid som det store etterretningsfirmaet Law.com notater, "Noen tror at de virkelige dramaene skjer privat."
Allens, et av de største og mest anerkjente australske advokatfirmaene, var også offer for et sofistikert brudd på cybersikkerhet i januar 2021. Angrepet ble rapportert å ha blitt igangsatt på et to tiår gammelt filoverførings- og lagringssystem som ble brukt av Accellion , et California-basert cybersikkerhetsfirma som tilbyr filoverføring og lagringstjeneste for store selskaper, inkludert mange juridiske firmaer rundt om i verden. Accellion oppdaterte først sitt eldre produkt i fjor da det oppdaget en sårbarhet i systemet. På en ganske tung-i-kind-måte ble tidligere Allens infrastrukturforvalter Shawn Schmidt sitert på Accellions nettsted om det australske advokatfirmaets valg av cybersikkerhetsselskapet: “Vi kunne lett ha tillatt ansatte å bruke forbrukerkvalitetsløsninger som Dropbox som på overflaten ville ha fått jobben gjort. Men vi visste at firmaet vårt og kundene våre trengte noe de kunne stole på og stole på. ”
Jones Day, det tiende største advokatfirmaet i USA og også en klient hos Accellion, rapporterte i februar 10 at private data fra deres klienter så vel som selskapets kommunikasjonsfiler ble hacket også på grunn av en sårbarhet i Accellions to tiår gamle fil Overføringsapparat.
konklusjonen
Cybersikkerhetsundersøkelsen fra 2020 av American Bar Association avslører den omfattende skaden advokatfirmaer har opplevd på grunn av brudd. Trettifem prosent av deltakerne i studien rapporterte tap av betalbare timer til sine klienter; tretti ni prosent måtte bruke konsultasjonsgebyrer for reparasjon; sytten prosent måtte bytte ut enten maskinvaren eller programvaren; tjuetre prosent mistet nettverkstilgangen; og ti prosent mistet tilgangen til nettstedet sitt.
Advokatfirmaer må ta en mer proaktiv holdning for å kunne bekjempe cyber -angrep. De bør være i konstant kommunikasjon med sikkerhetsleverandøren for å motta de siste oppdateringene og oppdateringene. Selv cybersikkerhetsselskaper kan falle til ro, og det er derfor opp til advokatfirmaer å nøye velge tjenesteleverandører.
Advokater vet først og fremst at konfidensialitet av informasjon er en gullstandard i deres virksomhet. Det er et av grunnlaget for firmaets rykte. Det er grunnlaget for å utvikle et tillitsforhold til sine kunder. Og det gir dem beskyttelse mot malpractice -søksmål. Til slutt bør advokatfirmaer se etter å investere i cybersikkerhetsprodukter og tjenester som er banebrytende og har gode anmeldelser.
