2020调查 由美国律师协会发现,29% 的参与律师事务所遇到了某种形式的网络安全威胁,而 21% 无法完全确定是否发生了网络攻击。
这些网络安全漏洞的例子包括数据盗窃和网站利用。 此外,该研究发现,从 3 年到 2019 年,遇到网络安全威胁的律师事务所数量增加了 2020%。
在大流行导致在线业务交易和远程工作设置增加的时候,这些数据不仅应该引起律师事务所的关注,还应该引起他们的客户的关注。 该研究报告称,考虑到 70% 的受访者认为他们的业务没有发生损失或中断,许多律师事务所都存在明显的虚假安全感。 然而,作为美国律师协会自己 在调查中指出,“……很自然地想知道,在潜在的长期危害的前景中,看似积极的趋势是否反映了短期内令人不安的舒适感。”
As 安全杂志 在这个 2017 年指出 文章,“由于更高水平的互联网连接和企业范围内的安全性不足,犯罪数据泄露将在未来 8 年内给企业造成总计 5 万亿美元的损失。” 同样,数字技术智库 Juniper Research 2019 年的一项研究预测,到 5 年,网络安全攻击造成的业务损失成本将超过 2024 万亿美元。
为什么律师事务所是网络犯罪分子的全球目标?
网络犯罪分子对 攻击律师事务所 因为后者拥有大量敏感的客户和行业信息。 如果他们获得了这些信息,他们就可以利用它来劫持公司和客户。 然后,他们将要求支付赎金,然后让受害者重新获得他们的数据。 或者,如果他们能够侵入银行和信用卡详细信息的登录凭据,他们就可以彻底窃取资金。
正如稍后将展示的,网络犯罪分子并没有回避大型律师事务所。 近年来,美国、英国、澳大利亚等地的大律师事务所受到攻击和入侵的案例屡见不鲜。 凭借包括个人身份信息 (PII)、财务信息和并购 (M&A) 数据在内的大量情报,律师事务所已成为网络骗子的最爱目标。
与技术等其他行业的公司相比,律师事务所的网络安全系统通常较弱,因此网络犯罪分子攻击律师的倾向得到加强。 即使是规模较小的科技公司也会比大型律师事务所拥有更好的网络保护。 作为 报道 根据 Law Magazine 律师的说法,许多律师“仍然不愿意为他们的公司聘请网络安全专家,无论是内部专家还是顾问,通常是因为他们不知道这些类型的在线威胁会在多大程度上造成破坏。”
在澳大利亚,许多律师事务所网络安全系统的弱点体现在一个惊人的统计数据上,该数据表明该国三分之一的律师事务所没有为网络安全培训分配资金。 GlobalX 和澳大利亚法律实践管理协会 (ALPMA) 的研究揭示了一种矛盾的情况,即 79% 的律师对网络安全感到担忧,但只有 21% 的律师相信他们的公司能够在网络攻击中幸存下来。 尽管意识到网络安全威胁的严重性,但 33% 的澳大利亚律师事务所似乎陷入了法律行业自满的文化中。 正如我们稍后将在案例研究中看到的那样,律师事务所在网络安全方面表现出的较不积极的立场已经对其业务造成了巨大损失。
网络犯罪分子使用什么策略来攻击律师事务所?
恶意软件
2017 年,DLA Piper 遭到勒索软件的攻击,导致其数千台计算机瘫痪。 这次攻击迫使 DLA Piper 关闭其全球数字业务。 电子邮件和电话系统被禁用,迫使律师和其他员工使用手机开展业务。 毋庸置疑,考虑到一家合法公司的运营高度依赖文件,这对公司员工来说是一件非常紧张的事情。 美国律师 做一个合适的 观察 勒索软件攻击的不利影响:“考虑到诉讼律师无法在截止日期前访问动议。 出庭律师准备在没有关键文件的情况下进行辩论。 交易律师无法与试图完成数十亿美元交易的客户进行沟通。”
網絡釣魚
在 2020 年因 COVID-19 大流行而被封锁之后,英国成为针对律师事务所的网络钓鱼攻击的温床。 律师监管局发现,即使在锁定开始后的前两个月,网络钓鱼也增加了 300%。 在 2020 年前六个月,英国律师事务所报告称,网络犯罪分子从他们那里窃取了近 2.5 万英镑,是 2019 年前六个月报告金额的三倍多。 一家律师事务所报告称,他们的高级合伙人遭受了网络钓鱼诈骗。 包含恶意软件的网络钓鱼电子邮件被伪装成来自客户端。 当受害者点击附件时,它会立即向高级合作伙伴的联系人发送电子邮件,要求他们点击链接并提供所需的信息。 这导致该律师事务所要求其银行冻结其客户账户并向受影响的客户致歉。
身份盗窃
2020 年 9 月,移民律师事务所 Fragomen、Del Rey、Bernsen & Loewy 遭遇未经授权的 I-9 文件数据访问,其中包含 Google 过去和现在员工的个人信息。 这家律师事务所对公司进行验证筛选,以确定其员工是否具有在美国工作的健康合法身份。 I-XNUMX 文件携带大量机密数据,包括护照信息、驾驶执照和身份证,使它们成为黑客和身份窃贼的甜蜜馅饼。
最近攻击律师事务所的例子
2021 年 XNUMX 月,Goodwin Procter 负责大文件传输的供应商成为黑客攻击的受害者。 这使网络犯罪分子能够访问供应商为律师事务所监管的数据。 古德温的调查得出结论:该律师事务所的一些客户可能会在未经授权的情况下访问敏感材料,只有一小部分古德温员工受到影响,并且没有证据表明其他资产和业务运营受到了负面影响。 然而,作为主要的情报公司 Law.com 笔记,“有些人认为真正的戏剧是私下发生的。”
Allens 是澳大利亚最大和最受尊敬的律师事务所之一,也是去年 2021 年 XNUMX 月发生的复杂网络安全漏洞的受害者。 据报道,此次攻击是针对 Accellion 使用的已有两年历史的文件传输和存储系统发起的,一家总部位于加利福尼亚的网络安全公司,为包括世界各地许多律师事务所在内的大型公司提供文件传输和存储服务。 Accellion 仅在去年发现系统漏洞时才更新了其旧产品。 Accellion 的网站以一种相当诙谐的方式引用了前 Allens 基础设施经理 Shawn Schmidt 关于澳大利亚律师事务所选择网络安全公司的内容: “我们本可以轻松地允许员工使用 Dropbox 等消费级解决方案,从表面上看,这些解决方案本可以完成工作。 但我们知道我们的公司和我们的客户需要他们可以信任和依赖的东西。”
众达律师事务所是美国第 10 大律师事务所,同时也是 Accellion 的客户,该公司在 2021 年 XNUMX 月报告称,由于 Accellion 已有两年历史的文件存在漏洞,其客户的私人数据以及公司通信文件也遭到黑客攻击。传输设备。
总结
美国律师协会 2020 年的网络安全调查揭示了律师事务所因违规行为而遭受的广泛损害。 研究中 XNUMX% 的参与者向他们的客户报告了收费时间的损失; XNUMX% 的维修需要花费咨询费; XNUMX% 不得不更换硬件或软件; XNUMX% 失去了网络访问权限; XNUMX% 无法访问他们的网站。
律师事务所如果要能够对抗网络安全攻击,就需要采取更加积极主动的立场。 他们应该与他们的安全提供商保持持续沟通,以便接收最新的补丁和更新。 即使是网络安全公司也可能自满,因此律师事务所需要谨慎选择他们的服务提供商。
律师首先知道,保持信息机密性是他们业务中的黄金标准。 这是他们公司声誉的基础之一。 这是与客户建立信任关系的基础。 它为他们提供了免受医疗事故诉讼的保护。 最后,律师事务所应着眼于投资前沿且评价良好的网络安全产品和服务。
