Rośnie liczba cyberataków na firmy prawnicze
Eksperci ds. cyberbezpieczeństwa z różnych krajów coraz powszechniej wzywają do uznania firm prawniczych za dostawców usług kluczowych dla zapewnienia bezpieczeństwa narodowego. Apele te pojawiły się po ujawnieniu dramatycznego wzrostu cyberataków na kancelarie prawne w 2020 roku. Wedle danych już każda większa kancelaria prawna na świecie zetknęła się z próbą ataku ze strony cyberprzestępców.
Skalę zagrożenia pokazują niedawne badania firmy zajmującej się cyberbezpieczeństwem BlueVoyant, która w pierwszym kwartale 2020 roku przeanalizowała zabezpieczenia kliku tysięcy kancelarii. Wszystkie te firmy zetknęły się w tym okresie z jakąś formą ataku hakerskiego. W przypadku 15 proc. firm atak zakończył się powodzeniem i doprowadził do poważnego naruszenia bezpieczeństwa przechowywanych danych, natomiast w ponad połowie firm zaobserwowano podejrzane aktywności, w tym wykryto obecność złośliwego oprogramowania na wykorzystywanych przez kancelarie serwerach proxy.
Zbliżone w swojej wymowie są także niedawno upublicznione dane organizacji Solicitors Regulation Authority, która zrzesza firmy prawnicze w Wielkiej Brytanii. Okazało się, że wiosną 2020 roku – w dwóch pierwszych miesiącach po ogłoszeniu lockdownu – liczba oszustw phishingowych w brytyjskich firmach prawniczych wzrosła o 300 proc.. W pierwszej połowie 2020 roku kancelarie z tego kraju zgłosiły, że cyberprzestępcy skradli im 2,5 miliona funtów, czyli ponad trzykrotnie więcej niż w tym samym okresie w 2019 roku.
Firmy prawnicze są nieprzygotowane na cyberataki
Kancelarie prawne stały się w ostatnich latach atrakcyjnym celem dla cyberprzestępców, ponieważ mają one dostęp do wielu wrażliwych informacji i pieniędzy swoich klientów. Jednak wiele z tych firm stosuje niewystarczające praktyki i procedury w zakresie bezpieczeństwa IT, uważa Aidas Kavaliauskas z Amberlo, firmy będącej twórcą oprogramowania wspomagającego zarządzanie kancelarią prawną.
Z kontaktów Amberlo z firmami prawniczymi wyłania się obraz branży niespecjalnie przygotowanej na cyberzagrożenia. Kancelarie zazwyczaj dysponują pakietem dokumentów, które zapewniają im zgodność z RODO. Jeśli jednak spytać te firmy, w jaki konkretnie sposób chronią one dane i co muszą zrobić w przypadku naruszenia bezpieczeństwa, prowadzi to najczęściej do kłopotliwego milczenia.
“Po wdrożeniu polityki RODO rzadko dochodzi do zmian w używanej infrastrukturze lub oprogramowaniu. Często prawnicy korzystają ze standardowego sprzętu sieciowego dostarczonego przez ich dostawcę usług internetowych. Ten sprzęt ma znane backdoory, które osoby atakujące mogą łatwo wykorzystać, aby dostać się do sieci firmy prawniczej. Czasami znajdujemy przestarzałe wersje systemu Windows, niezaszyfrowane dyski na komputerach i wyłączone zapory. Ponadto niektórzy prawnicy używają zewnętrznych dysków twardych jako urządzeń do tworzenia kopii zapasowych. Bardzo często te dyski nie są szyfrowane ani chronione hasłem”- opisuje Kavaliauskas.
Jak szybko poprawić bezpieczeństwo kancelarii prawnej?
Amberlo radzi małym i średnim kancelariom prawnym, które chcą szybko poprawić bezpieczeństwo przechowywanych danych, aby przeszły całkowicie na chmurę. Sprawi ona, że nawet jeśli cyberprzestępca dostanie się do sieci wewnętrznej, to nie znajdzie w niej nic wartościowego, bo wszystkie ważne dane będą przechowywane w chmurze. Dodatkowo łatwiej będzie zabezpieczyć urządzenia używane przez pracowników kancelarii prawnych, co jest szczególnie ważne w dobie coraz powszechnej pracy zdalnej.
“Warto także pamiętać, że po migracji do chmury natychmiast zaczynasz dzielić się odpowiedzialnością za ochronę danych z dostawcą chmury, co oznacza, że poniesiesz mniejszą szkodę w przypadku naruszenia danych. Najwięksi dostawcy chmury, jak Amazon, Google czy Microsoft, wydają miliardy na cyberbezpieczeństwo. Większość kancelarii nie może sobie pozwolić nawet na ułamek takich wydatków. Dlatego w większości przypadków dane będą znacznie lepiej chronione w chmurze” – wyjaśnia Kavaliauskas.
Nikt nie pyta o kwestie związane z bezpieczeństwem
Amberlo ma także ciekawe spostrzeżenia dotyczące tego, na co zwracają uwagę prawnicy wybierający dedykowane dla ich branży oprogramowanie. Otóż pytania o kwestie związane z bezpieczeństwem praktycznie się nie pojawiają. Nie dotyczy to jednak tylko polskich firm prawniczych, ale także i tych z innych krajów UE i Ameryki Północnej.
Tymczasem – zdaniem przedstawiciela Amberlo – regułą powinny być pytania o takie kwestie, jak np. gdzie są przechowywane i w jaki sposób są przetwarzane dane gromadzone w aplikacji? Jaka infrastruktura jest używana i jak jest chroniona? Czy są używane zapory sieciowe? Czy każdy serwer jest odizolowany od innych serwerów? Czy jest używana aktywna ochrona, która ostrzega o nietypowym zachowaniu? Czy wszystkie hasła są zaszyfrowane? Czy dostawca może zagwarantować, że hasła użytkowników końcowych są szyfrowane? Jak często są wykonywane kopie zapasowe? Czy są one zaszyfrowane i przechowywane w oddzielnej fizycznej lokalizacji? Kto z personelu dostawcy może uzyskać dostęp do systemu?
“Te pytania nie padają, bo dla znacznej części firm prawniczych nie są to istotne kwestie. Aby zmienić tę sytuację, musimy mieć standardy bezpieczeństwa dla firm technologicznych i kancelarii prawnych. Powinien istnieć proces certyfikacji i zbiór wskazówek dla firm prawniczych i klientów kancelarii prawnych, który ułatwiłby im wybór odpowiedniego usługodawcy, zadawanie właściwych pytań i upewnianie się, że wrażliwe informacje są odpowiednio zarządzane. I lepiej, żeby stało się to wcześniej, niż później” – apeluje przedstawiciel Amberlo.
Po upublicznieniu swoich badań dot. wzrostu ataków na firmy prawnicze, z podobnym wezwaniem wystąpiła także firma BlueVoyant. Zaapelowała ona do władz amerykańskich, aby sektor prawny został zdefiniowany jako kluczowy dla zabezpieczenia infrastruktury krajowej. Przedstawiciele firmy podkreślili, że choć z pozoru branża wydaje się mała w porównaniu do operatorów telekomunikacyjnych czy dostawców innej krytycznej infrastruktury, to jednak ujawniane od czasu do czasu wyniki włamań w firmach prawniczych potrafią wstrząsnąć rynkiem.