Dlaczego firmy prawnicze powinny inwestować więcej w cyberbezpieczeństwo

Ankieta z 2020 r przez American Bar Association ustaliło, że 29% uczestniczących kancelarii napotkało jakąś formę zagrożenia cyberbezpieczeństwa, podczas gdy 21% nie było w stanie całkowicie ustalić, czy doszło do cyberataku, czy nie.

Przykłady takich naruszeń bezpieczeństwa cybernetycznego obejmują kradzież danych i wykorzystywanie stron internetowych. Ponadto badanie wykazało, że liczba firm prawniczych, które doświadczyły zagrożeń cyberbezpieczeństwa w latach 3–2019 wzrosła o 2020%.

W czasach, gdy pandemia powoduje wzrost transakcji biznesowych online i konfiguracji pracy zdalnej, dane te powinny budzić niepokój nie tylko kancelarii prawnych, ale także ich klientów. Badanie wskazuje na pozorne poczucie fałszywego bezpieczeństwa wśród wielu kancelarii, biorąc pod uwagę, że 70% respondentów uważa, że ​​nie doszło do żadnych strat ani zakłóceń w ich działalności. Jednak, jak sami American Bar Association zauważ w ankiecie: „… naturalne jest zastanawianie się, czy pozornie pozytywne trendy odzwierciedlają niepokojące poczucie komfortu w perspektywie krótkoterminowej w perspektywie potencjalnie długoterminowej szkody”.

As Magazyn bezpieczeństwa odnotowane w tym roku 2017 artykuł, „naruszenia danych kryminalnych będą kosztować firmy łącznie 8 bilionów dolarów w ciągu najbliższych 5 lat, ze względu na wyższy poziom łączności internetowej i nieodpowiednie zabezpieczenia w całym przedsiębiorstwie”. Podobnie badanie przeprowadzone w 2019 r. przez think tank technologii cyfrowej Juniper Research przewiduje, że do 5 r. koszt strat biznesowych spowodowanych atakami na cyberbezpieczeństwo przekroczy 2024 bilionów dolarów.

 

Dlaczego kancelarie prawne są globalnym celem cyberprzestępców?

Cyberprzestępcy mają szczególne upodobanie do atakowanie kancelarii prawnych ze względu na posiadanie przez tę ostatnią ogromnej ilości poufnych informacji o klientach i branży. Jeśli uzyskają dostęp do tych informacji, mogą wykorzystać je do wzięcia korporacji i klientów jako zakładników. Następnie zażądają zapłaty okupu, zanim umożliwią ofiarom odzyskanie swoich danych. Lub, jeśli są w stanie włamać się do danych logowania do danych bankowych i kart kredytowych, mogą wręcz ukraść pieniądze.  

Jak pokażemy później, cyberprzestępcy nie stronią od wielkich firm prawniczych. W ostatnich latach miało miejsce wiele przypadków ataków i inwazji na duże firmy prawnicze w USA, Wielkiej Brytanii i Australii. Dysponując ogromną inteligencją, w tym informacjami umożliwiającymi identyfikację osób (PII), informacjami finansowymi oraz danymi dotyczącymi fuzji i przejęć (M&A), firmy prawnicze stały się ulubionym celem cyberprzestępców.

Ta skłonność cyberprzestępców do atakowania prawników jest wzmacniana przez fakt, że kancelarie prawne mają ogólnie słabsze systemy cyberbezpieczeństwa w porównaniu z firmami z innych branż, takich jak technologie. Nawet mniejsze firmy technologiczne miałyby lepszą ochronę cybernetyczną niż duże firmy prawnicze. Jak zgłaszane Według Attorney at Law Magazine, wielu prawników „nadal niechętnie zatrudnia ekspertów ds. cyberbezpieczeństwa dla swoich firm, zarówno wewnętrznych, jak i konsultantów, zwykle dlatego, że nie są świadomi, w jakim stopniu tego typu zagrożenia online mogą być szkodliwe”.

W Australii słabość systemów cyberbezpieczeństwa wielu firm prawniczych znajduje odzwierciedlenie w oszałamiających statystykach, które wskazują, że jedna trzecia firm prawniczych w kraju nie przeznacza środków na szkolenia z zakresu cyberbezpieczeństwa. Badania przeprowadzone przez GlobalX i Australijskie Stowarzyszenie Zarządzania Praktyką Prawną (ALPMA) ujawniły paradoksalną sytuację, w której 79% prawników jest zaniepokojonych cyberbezpieczeństwem, ale tylko 21% wierzy, że ich firmy są w stanie przetrwać atak cybernetyczny. Pomimo świadomości powagi zagrożeń związanych z cyberbezpieczeństwem, 33% australijskich kancelarii wydaje się być uwikłanych w kulturę samozadowolenia w branży prawniczej. Jak zobaczymy później w studiach przypadków, mniej proaktywne stanowisko firm prawniczych w zakresie cyberbezpieczeństwa spowodowało ogromne szkody w ich firmach.

 

Jakie taktyki stosują cyberprzestępcy, aby atakować kancelarie prawne? 

malware

W 2017 roku DLA Piper zostało zaatakowane przez oprogramowanie ransomware, które osłabiło tysiące komputerów. Atak zmusił DLA Piper do zamknięcia działalności cyfrowej na całym świecie. Systemy poczty elektronicznej i telefonu zostały wyłączone, co zmusiło prawników i innych pracowników do robienia interesów przy użyciu telefonów komórkowych. Nie trzeba dodawać, że była to bardzo stresująca sprawa dla pracowników firmy, biorąc pod uwagę, że korporacja prawna jest w dużym stopniu uzależniona od dokumentów w swojej działalności. Amerykański prawnik robi przymiarkę obserwacja negatywnych skutków ataku ransomware: „Uważaj, że sporu nie mogą uzyskać dostępu do wniosków w terminie. Prawnicy procesowi przygotowujący się do argumentów bez kluczowych dokumentów. Prawnicy transakcyjni niezdolni do komunikowania się z klientami próbującymi zamknąć wielomiliardowe transakcje”.  

phishing

Wielka Brytania stała się wylęgarnią ataków phishingowych na firmy prawnicze po blokadach w 2020 r. z powodu pandemii COVID-19. Solicitors Regulation Authority wykrył 300% wzrost phishingu nawet w ciągu pierwszych dwóch miesięcy od wszczęcia blokady. W ciągu pierwszych sześciu miesięcy 2020 r. brytyjskie firmy prawnicze poinformowały, że cyberprzestępcy ukradli im prawie 2.5 miliona funtów, czyli ponad trzykrotnie więcej niż w pierwszym półroczu 2019 r. Jedna z firm prawniczych zgłosiła oszustwo phishingowe, które padło ofiarą ich starszego partnera. Wiadomość phishingowa zawierająca złośliwe oprogramowanie była zamaskowana jako pochodząca od klienta. Kiedy ofiara kliknęła załącznik, natychmiast wysyłała wiadomości e-mail do kontaktów starszego partnera z prośbą o kliknięcie łącza i podanie żądanych informacji. Doprowadziło to do tego, że kancelaria zwróciła się do swojego banku o zamrożenie konta klienta i przesłała przeprosiny do poszkodowanych klientów. 

Kradzież tożsamości

W październiku 2020 r. kancelaria imigracyjna Fragomen, Del Rey, Bernsen & Loewy doświadczyła nieautoryzowanego dostępu do plików I-9, które zawierały dane osobowe byłych i obecnych pracowników Google. Ta kancelaria prowadzi badania weryfikacyjne dla firm, aby upewnić się, czy ich pracownicy mają zdrowy status prawny do pracy w Stanach Zjednoczonych. Pliki I-9 zawierają wiele poufnych danych, w tym informacje paszportowe, prawa jazdy i dowody osobiste, co czyni je słodkim ciastem dla hakerów i złodziei tożsamości.

 

Ostatnie przykłady ataków na kancelarie prawne

W styczniu 2021 roku dostawca firmy Goodwin Procter odpowiedzialny za przesyłanie dużych plików padł ofiarą włamania. Umożliwiło to cyberprzestępcom uzyskanie dostępu do danych nadzorowanych przez dostawcę dla korporacji prawniczej. Dochodzenie Goodwin wykazało, że: niektórzy klienci kancelarii mogli uzyskać nieautoryzowany dostęp do materiałów wrażliwych, dotyczyło to tylko niewielkiego odsetka pracowników Goodwin i nie było dowodu wskazującego, że miało to negatywny wpływ na inne aktywa i operacje biznesowe. Jednak jako główna firma wywiadowcza Law.com zauważa, „niektórzy uważają, że prawdziwe dramaty dzieją się na osobności”.

Allens, jedna z największych i najbardziej cenionych australijskich firm prawniczych, również padła ofiarą wyrafinowanego naruszenia bezpieczeństwa cybernetycznego w styczniu 2021 r. Według doniesień, atak został zainicjowany na liczącym dwie dekady systemie przesyłania i przechowywania plików używanym przez Accellion , kalifornijska firma zajmująca się cyberbezpieczeństwem, która świadczy usługi przesyłania i przechowywania plików dla dużych korporacji, w tym wielu firm prawniczych na całym świecie. Accellion zaktualizował swój starszy produkt dopiero w zeszłym roku, kiedy odkrył lukę w systemie. W dość żartobliwy sposób były menedżer infrastruktury Allens, Shawn Schmidt, został zacytowany na stronie Accellion w związku z wyborem australijskiej firmy prawniczej na firmę zajmującą się cyberbezpieczeństwem: „Mogliśmy z łatwością pozwolić pracownikom na korzystanie z rozwiązań klasy konsumenckiej, takich jak Dropbox, które pozornie wykonałyby zadanie. Ale wiedzieliśmy, że nasza firma i nasi klienci potrzebują czegoś, na czym mogliby zaufać i na którym mogliby polegać.”    

Jones Day, dziesiąta największa firma prawnicza w Stanach Zjednoczonych, a także klient Accellion, poinformowała w lutym 10 r., że prywatne dane ich klientów oraz pliki komunikacyjne firmy zostały zhakowane również z powodu luki w istniejącym od dwóch dekad pliku Accellion. Urządzenie transferowe.

 

Wnioski

Badanie cyberbezpieczeństwa przeprowadzone w 2020 r. przez American Bar Association ujawnia rozległe szkody, jakich doświadczyły firmy prawnicze w wyniku naruszeń. Trzydzieści pięć procent uczestników badania zgłosiło swoim klientom utratę płatnych godzin; trzydzieści dziewięć procent musiało wydać opłaty za konsultacje na naprawę; siedemnaście procent musiało wymienić sprzęt lub oprogramowanie; dwadzieścia trzy procent straciło dostęp do sieci; a dziesięć procent straciło dostęp do swojej strony internetowej.

Kancelarie prawnicze muszą przyjąć bardziej proaktywną postawę, jeśli mają być w stanie zwalczać ataki cybernetyczne. Powinni być w stałym kontakcie ze swoim dostawcą zabezpieczeń, aby otrzymywać najnowsze poprawki i aktualizacje. Nawet firmy zajmujące się cyberbezpieczeństwem mogą popaść w samozadowolenie, więc to do kancelarii prawnych należy staranny wybór dostawców usług.

Prawnicy wiedzą przede wszystkim, że zachowanie poufności informacji jest złotym standardem w ich biznesie. To jeden z fundamentów reputacji ich firmy. Jest podstawą budowania relacji zaufania ze swoimi klientami. I zapewnia im ochronę przed procesami sądowymi o nadużycia. Ostatecznie kancelarie prawne powinny dążyć do inwestowania w produkty i usługi z zakresu cyberbezpieczeństwa, które są najnowocześniejsze i mają doskonałe recenzje.

 

Podpisywanie dokumentów, podpisywanie kodu, pieczętowanie elektroniczne i nie tylko dzięki eSigner! Kliknij poniżej, aby uzyskać więcej informacji.

DOWIEDZ SIĘ WIĘCEJ

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.