Bir 2020 anketi Amerikan Barolar Birliği, katılan hukuk bürolarının %29'unun bir tür siber güvenlik tehdidiyle karşılaştığını, %21'inin ise bir siber saldırı olup olmadığını tam olarak belirleyemediğini tespit etti.
Bu siber güvenlik ihlallerine örnek olarak veri hırsızlığı ve web sitesi istismarı dahildir. Ayrıca, çalışma, 3'dan 2019'ye kadar siber güvenlik tehditleri yaşayan hukuk firmalarının sayısında %2020'lük bir artış olduğunu tespit etti.
Salgının çevrimiçi ticari işlemlerde ve uzaktan çalışma kurulumlarında artışa neden olduğu bir zamanda, bu veriler sadece hukuk büroları için değil, müvekkilleri için de endişe kaynağı olmalıdır. Ankete katılanların %70'inin işlerinde herhangi bir kayıp veya aksama meydana gelmediğine inandığı göz önüne alındığında, araştırma birçok hukuk bürosunda bariz bir yanlış güvenlik algısı olduğunu bildiriyor. Ancak, Amerikan Barolar Birliği'nin kendileri olarak ankette not: “…görünüşte olumlu eğilimlerin, potansiyel olarak daha uzun vadeli bir zarar ihtimalinin ortasında kısa vadede rahatsız edici bir rahatlık hissini yansıtıp yansıtmadığını merak etmek doğaldır.”
As Güvenlik Dergisi bu 2017'de not edildi göre, "Suç verisi ihlalleri, daha yüksek İnternet bağlantısı seviyeleri ve kurumsal çapta yetersiz güvenlik nedeniyle, önümüzdeki 8 yıl içinde işletmelere toplam 5 trilyon dolara mal olacak." Benzer şekilde, dijital teknoloji düşünce kuruluşu Juniper Research tarafından 2019 yılında yapılan bir araştırma, siber güvenlik saldırılarından kaynaklanan iş kayıplarının maliyetinin 5 yılına kadar 2024 trilyon doları geçeceğini öngördü.
Hukuk Firmaları Neden Siber Suçlular İçin Küresel Bir Hedeftir?
Siber suçluların özel bir yakınlığı vardır. hukuk firmalarına saldırmak ikincisinin büyük miktarda hassas müşteri ve endüstri bilgisine sahip olması nedeniyle. Bu bilgilere erişirlerse, şirketleri ve müşterileri rehin almak için kullanabilirler. Daha sonra kurbanların verilerine yeniden sahip olmalarına izin vermeden önce fidye ödenmesini talep edecekler. Veya bankacılık ve kredi kartı bilgileri için giriş bilgilerini hackleyebilirlerse, doğrudan para çalabilirler.
Daha sonra gösterileceği gibi, siber suçlular Büyük Hukuk firmalarından çekinmiyorlar. Son yıllarda ABD, İngiltere ve Avustralya'da büyük hukuk firmalarının saldırıya uğradığı ve işgal edildiğine dair çok sayıda vaka oldu. Kişisel olarak tanımlanabilir bilgiler (PII), finansal bilgiler ve birleşme ve satın alma (M&A) verileri de dahil olmak üzere ellerinde bulunan devasa istihbarat sayesinde hukuk firmaları siber dolandırıcılar için favori bir hedef haline geldi.
Siber suçluların avukatlara saldırma eğilimi, hukuk firmalarının genellikle teknoloji gibi diğer sektörlerdeki şirketlere kıyasla daha zayıf siber güvenlik sistemlerine sahip olması gerçeğiyle güçleniyor. Daha küçük ölçekli teknoloji şirketleri bile büyük hukuk firmalarından daha iyi siber korumaya sahip olacaktır. Olarak rapor Avukatlık Dergisi'ne göre, birçok avukat “hala şirketleri için şirket içinde veya danışman olarak siber güvenlik uzmanlarını işe almak konusunda isteksiz, çünkü genellikle bu tür çevrimiçi tehditlerin ne kadar zarar verebileceğinin farkında değiller.”
Avustralya'da, birçok hukuk firmasının siber güvenlik sistemindeki zayıflık, ülkedeki hukuk firmalarının üçte birinin siber güvenlik eğitimine fon ayırmadığını gösteren şaşırtıcı bir istatistikte kendini gösteriyor. GlobalX ve Avustralya Hukuki Uygulama Yönetimi Derneği (ALPMA) tarafından yapılan araştırma, avukatların %79'unun siber güvenlik konusunda endişe duyduğu, ancak yalnızca %21'inin firmalarının bir siber saldırıdan sağ çıkabileceğine güvendiği paradoksal bir durumu ortaya çıkardı. Siber güvenlik tehditlerinin ciddiyetinin farkında olmalarına rağmen, Avustralya hukuk firmalarının %33'ü hukuk endüstrisinde bir gönül rahatlığı kültürüne kapılmış görünüyor. Daha sonra vaka incelemelerinde göreceğimiz gibi, hukuk firmalarının siber güvenlik söz konusu olduğunda gösterdikleri daha az proaktif duruş, işlerine büyük zararlar verdi.
Siber Suçlular Hukuk Firmalarına Saldırmak İçin Hangi Taktikleri Kullanıyor?
Malware
2017'de DLA Piper, binlerce bilgisayarını zayıflatan bir fidye yazılımı tarafından saldırıya uğradı. Saldırı, DLA Piper'ı dijital operasyonlarını küresel olarak kapatmaya zorladı. E-posta ve telefon sistemleri devre dışı bırakılarak avukatlar ve diğer çalışanlar cep telefonu kullanarak iş yapmaya zorlandı. Yasal bir şirketin faaliyetleri için büyük ölçüde belgelere bağlı olduğu düşünüldüğünde, şirket çalışanları için çok stresli bir iş olduğunu söylemeye gerek yok. Amerikan Avukat uydurma yapar gözlem fidye yazılımı saldırısının olumsuz etkisi: “Davacıların, son teslim tarihine kadar önergelere erişemediğini düşünün. Duruşma avukatları, önemli belgeler olmadan tartışmalara hazırlanıyor. İşlem avukatları, milyarlarca dolarlık anlaşmaları kapatmaya çalışan müşterilerle iletişim kuramıyor.”
Phishing
Birleşik Krallık, COVID-2020 salgını nedeniyle 19'de sokağa çıkma yasağının ardından hukuk firmalarına yönelik kimlik avı saldırılarının üreme alanı haline geldi. Avukatlar Düzenleme Kurumu, kilitlenmenin başlamasından bu yana ilk iki ayda bile kimlik avında %300 artış tespit etti. 2020'nin ilk altı ayında İngiliz hukuk firmaları, siber suçluların kendilerinden yaklaşık 2.5 milyon sterlin çaldığını ve bu rakam 2019'un ilk altı ayında bildirilen miktarın üç katından fazla olduğunu bildirdi. Bir hukuk firması, kıdemli ortaklarını mağdur eden bir kimlik avı dolandırıcılığı bildirdi. Kötü amaçlı yazılım içeren bir kimlik avı e-postası, bir istemciden geliyormuş gibi gizlendi. Kurban eki tıkladığında, kıdemli ortağın bağlantılarına anında bir bağlantıya tıklamalarını ve istenen bilgileri sağlamalarını isteyen e-posta mesajları gönderdi. Bu, hukuk firmasının bankasından müşteri hesabını dondurmasını istemesine ve etkilenen müşterilerden bir özür göndermesine neden oldu.
Kimlik Hırsızlığı
2020 yılının Ekim ayında, göçmenlik hukuku firması Fragomen, Del Rey, Bernsen & Loewy, geçmiş ve şimdiki Google çalışanlarının kişisel bilgilerini içeren I-9 dosyalarına yetkisiz veri erişimi yaşadı. Bu hukuk firması, çalışanlarının Amerika Birleşik Devletleri'nde çalışmak için sağlıklı bir yasal statüye sahip olup olmadığını belirlemek için şirketler için doğrulama taraması yapıyor. I-9 dosyaları pasaport bilgileri, ehliyetler ve kimlik kartları gibi çok sayıda gizli veri taşır ve bu da onları bilgisayar korsanları ve kimlik hırsızları için tatlı bir pasta yapar.
Hukuk Firmalarına Yönelik Son Saldırı Örnekleri
Ocak 2021'de Goodwin Procter'ın büyük dosya aktarımlarından sorumlu bir satıcısı bilgisayar korsanlığının kurbanı oldu. Bu, siber suçluların, satıcının hukuk şirketi adına denetlediği verilere erişmesini sağladı. Goodwin'in soruşturması şu sonuca vardı: hukuk firmasının müvekkillerinden bazıları hassas materyallere yetkisiz erişim elde etmiş olabilir, Goodwin çalışanlarının yalnızca küçük bir yüzdesi etkilenmiştir ve diğer varlıkların ve ticari operasyonların olumsuz etkilendiğine dair hiçbir kanıt yoktur. Ancak, büyük istihbarat şirketi Law.com olarak notlar, “bazıları gerçek dramaların özel olarak gerçekleştiğine inanıyor.”
Avustralya'nın en büyük ve en saygın hukuk firmalarından biri olan Allens, geçen Ocak 2021'de karmaşık bir siber güvenlik ihlalinin de kurbanıydı. Saldırının Accellion tarafından kullanılan yirmi yıllık bir dosya aktarım ve depolama sisteminde başlatıldığı bildirildi. , dünya çapında birçok hukuk firması da dahil olmak üzere büyük şirketler için dosya aktarımı ve depolama hizmeti sağlayan Kaliforniya merkezli bir siber güvenlik firması. Accellion, eski ürününü yalnızca geçen yıl sistemde bir güvenlik açığı keşfettiğinde güncelledi. Eski Allens altyapı yöneticisi Shawn Schmidt, Accellion'un web sitesinde Avustralya hukuk firmasının siber güvenlik şirketi seçimiyle ilgili olarak oldukça alaycı bir şekilde alıntı yaptı: “Çalışanların Dropbox gibi yüzeyde işi halledebilecek tüketici sınıfı çözümleri kullanmalarına kolayca izin verebilirdik. Ancak firmamızın ve müşterilerimizin güvenebilecekleri ve güvenebilecekleri bir şeye ihtiyaçları olduğunu biliyorduk.”
Amerika Birleşik Devletleri'ndeki en büyük 10. hukuk firması ve aynı zamanda Accellion'un müşterisi olan Jones Day, geçtiğimiz Şubat 2021'de, Accellion'un yirmi yıllık Dosyasındaki bir güvenlik açığı nedeniyle müşterilerinden gelen özel verilerin ve şirket iletişim dosyalarının saldırıya uğradığını bildirdi. Cihazı Aktarın.
Sonuç
Amerikan Barolar Birliği tarafından yapılan 2020 siber güvenlik araştırması, hukuk firmalarının ihlaller nedeniyle yaşadığı büyük zararı ortaya koyuyor. Araştırmaya katılanların yüzde otuz beşi müşterilerine ücretli saat kaybı bildirmiştir; yüzde otuz dokuzu onarım için danışma ücreti harcamak zorunda kaldı; yüzde on yedi donanım veya yazılımını değiştirmek zorunda kaldı; yüzde yirmi üçü ağ erişimini kaybetti; ve yüzde onu web sitelerine erişimi kaybetti.
Hukuk firmalarının siber güvenlik saldırılarıyla mücadele edebilmeleri için daha proaktif bir duruş sergilemeleri gerekiyor. En son yamaları ve güncellemeleri almak için güvenlik sağlayıcılarıyla sürekli iletişim halinde olmalıdırlar. Siber güvenlik şirketleri bile rehavete kapılabilir ve bu nedenle hizmet sağlayıcılarını dikkatli bir şekilde seçmek hukuk firmalarının görevidir.
Avukatlar her şeyden önce bilgi gizliliğinin işlerinde altın bir standart olduğunu bilirler. Bu, firmalarının itibarının temellerinden biridir. Müşterileri ile bir güven ilişkisi geliştirmenin temelidir. Ve onlara malpraktis davalarına karşı koruma sağlar. Sonuç olarak, hukuk firmaları son teknoloji ve mükemmel incelemelere sahip siber güvenlik ürünlerine ve hizmetlerine yatırım yapmaya çalışmalıdır.
