W 2020 roku drastycznie wzrosła liczba ataków hakerskich na kancelarie prawne. Generalnie nic w tym dziwnego, bo w okresie pandemii, hakerzy strzelali niemal do wszystkiego, co wpadło im pod rękę ze zdwojoną siłą, ale prawdą jest, że kancelarie prawne to cudowny cel: słabo zabezpieczone, a utrata danych klientów, to utrata ich reputacji. Można w nie więc walić, jak w bęben, bo raczej będą szybko i grzecznie płacić okupy.
W pierwszym i drugim kwartale 2020 od hakerów dostało się niemal wszystkim. Atakowali i te duże firmy i te małe. Te duże coraz lepiej sobie ostatnio jednak radzą, bądź poszły po rozum do głowy i korzystają z usług cyberbezpieczeństwa na zasadzie outsoutcingu, bądź w modelu na żądanie. No, ale o tym trzeba wiedzieć. Przede wszystkim, że jest taka możliwość. Gorzej z tymi mniejszymi – większość z nich twierdzi, że ich to nie dotyczy. Nie lepiej sprawa wygląda z kancelariami prawnymi – dla nich cyberbezpieczeństwo, to w najlepszym przypadku kończy się na posiadaniu jakiegoś antywirusa. Daję sobie rękę uciąć, że jakbym na 10 losowych odpytał czy łączą się za pomocą jakiegoś VPN, to 9 na 10 zapyta, o co mi do cholery chodzi.
Zresztą podobne wnioski nasuwają się po przeanalizowaniu badania firmy BlueVoyant z drugiego kwartału 2020 roku. Jak się okazuje, 15 procent przypadków cyberataków na kancelarie prawne zakończyło się sukcesem i doprowadziło do poważnego naruszenia bezpieczeństwa przechowywanych danych, natomiast w ponad połowie badanych, zaobserwowano podejrzane aktywności, w tym wykryto obecność złośliwego oprogramowania na wykorzystywanych przez kancelarie serwerach.
Podobny wydźwięk mają także dane płynące z rynku brytyjskiego. Tam, według organizacji Solicitors Regulation Authority, zrzeszające firmy prawnicze w UK, wiosną 2020 liczba oszustw phishingowych w brytyjskich firmach prawniczych wzrosła o 300 procent. Znacznie ciekawiej robi się, jak weźmiemy pod uwagę kasę, którą hakerzy wydoili z kancelarii prawnych. Jak się okazuje, w sumie w pierwszej połowie 2020, brytyjskie kancelarie prawne, na skutek ataków hakerskich, straciły 2,5 miliona funtów. To ponad trzykrotnie więcej niż w tym samym okresie w 2019 roku.
Kancelarie prawne słabo zabezpieczone przed cyberzagrożeniami
Kancelarie prawne stały się w ostatnich latach atrakcyjnym celem dla cyberprzestępców, ponieważ mają one dostęp do wielu wrażliwych informacji i pieniędzy swoich klientów. Zatem z punktu widzeniu hakera – cel niemal doskonały. Można się całkiem nieźle obłowić, zwłaszcza, że jak uważa Aidas Kavaliauskas z Amberlo, firmy będącej twórcą oprogramowania wspomagającego zarządzanie kancelarią prawną, wiele kancelarii stosuje niewystarczające praktyki i procedury w zakresie bezpieczeństwa IT.
Ze słów Kavaliauskasa z Amberlo, wyłania się dość kiepski i podatny na cyberzagrożenia obraz kancelarii prawnych. “Po wdrożeniu polityki RODO rzadko dochodzi do zmian w używanej infrastrukturze lub oprogramowaniu. Często prawnicy korzystają ze standardowego sprzętu sieciowego dostarczonego przez ich dostawcę usług internetowych. Ten sprzęt ma znane backdoory, które osoby atakujące mogą łatwo wykorzystać, aby dostać się do sieci firmy prawniczej. Czasami znajdujemy przestarzałe wersje systemu Windows, niezaszyfrowane dyski na komputerach i wyłączone zapory. Ponadto niektórzy prawnicy używają zewnętrznych dysków twardych jako urządzeń do tworzenia kopii zapasowych. Bardzo często te dyski nie są szyfrowane ani chronione hasłem” Zakładam, że to o czym mowa powyżej, to dopiero wierzchołek góry lodowej, bo jakby przyjrzeć się bliżej, to pewnie więcej kwiatków by się znalazło.
Nikt nie pyta o kwestie związane z bezpieczeństwem
Amberlo ma także ciekawe spostrzeżenia dotyczącego tego, na co zwracają uwagę prawnicy wybierający dedykowane dla ich branży oprogramowanie. Otóż pytania o kwestie związane z bezpieczeństwem praktycznie się nie pojawiają. Nie dotyczy to jednak tylko polskich kancelarii, ale także i tych z innych krajów UE i Ameryki Północnej.
Tymczasem – zdaniem przedstawiciela Amberlo – regułą powinny być pytania o takie kwestie, jak np. gdzie są przechowywane i w jaki sposób są przetwarzane dane gromadzone w aplikacji? Jaka infrastruktura jest używana i jak jest chroniona? Czy są używane zapory sieciowe? Czy każdy serwer jest odizolowany od innych serwerów? Czy jest używana aktywna ochrona, która ostrzega o nietypowym zachowaniu? Czy wszystkie hasła są zaszyfrowane? Czy dostawca może zagwarantować, że hasła użytkowników końcowych są szyfrowane? Jak często są wykonywane kopie zapasowe? Czy są one zaszyfrowane i przechowywane w oddzielnej fizycznej lokalizacji? Kto z personelu dostawcy może uzyskać dostęp do systemu?
“Te pytania nie padają, bo dla znacznej części firm prawniczych nie są to istotne kwestie. Aby zmienić tę sytuację, musimy mieć standardy bezpieczeństwa dla firm technologicznych i kancelarii prawnych. Powinien istnieć proces certyfikacji i zbiór wskazówek dla firm prawniczych i klientów kancelarii prawnych, który ułatwiłby im wybór odpowiedniego usługodawcy, zadawanie właściwych pytań i upewnianie się, że wrażliwe informacje są odpowiednio zarządzane. I lepiej, żeby stało się to wcześniej, niż później” – apeluje przedstawiciel Amberlo.
Generalnie to ja się zgadzam z tym, co mówi Mister Kavaliauskas, ale już to widzę w praktyce: „Dzień dobry, chciałbym się umówić do Państwa kancelarii na spotkanie, ale zanim przejdziemy do tego, proszę mi powiedzieć, czy w Państwa kancelarii używane są zapory sieciowe? Czy macie procedurę wykrycia incydentów? Współpracujecie z jakimiś bezpiecznikami? Jak i gdzie będziecie przechowywać i chronić moje dane?” Obawiam się, że długo pewnie bym musiał szukać odpowiedniej kancelarii, a swoją drogą, to całkiem niezły pomysł na test. Jak kiedyś będę miał trochę więcej czasu, to może podzwonię i pokuszę się o takie zestawienie.
Ataków będzie przybywać
Jak liczycie, że wraz z przejściem pandemii, ustabilizuje się także aktywność cyberprzestępców, to jesteście w błędzie. Jak już raz poczuli krew, to raczej jej nie odpuszczą. Zresztą nie oszukujmy się – przestępcy zawsze byli i będą, z tym tylko, że teraz przenieśli się do sieci. Martwi tylko fakt, że atak hakerski można też sobie zamówić, działa on w formule cybercrime as a service. Ja tam nic nie wiem, ale słyszałem, że w środowisku prawniczym różnych praktyk się dopuszcza, by zniszczyć konkurencję, więc sugerowałbym się dobrze zabezpieczać, bo drodzy prawnicy – w Waszym przypadku skuteczny atak, to kolosalne straty – finansowe i wizerunkowe. I mimo znajomości prawa, ciężko może być się z tego wygrzebać. Tak mi się coś wydaje. Niektóre korporacje i banki na tym temacie już się powykładały.
Zdjęcie autorstwa Tima Miroshnichenko z Pexels
