Kancelarie prawne stały się w ostatnich latach atrakcyjnym celem dla cyberprzestępców, ponieważ mają one dostęp do wielu wrażliwych informacji i pieniędzy swoich klientów. Jednak wiele z tych firm stosuje niewystarczające praktyki i procedury w zakresie bezpieczeństwa IT – zwracają coraz częściej uwagę eksperci ds. cyberbezpieczeństwa.
W związku z tym coraz powszechniej wzywają oni do uznania firm prawniczych za dostawców usług kluczowych dla zapewnienia bezpieczeństwa narodowego. Apele te pojawiły się po ujawnieniu dramatycznego wzrostu cyberataków na kancelarie prawne w 2020 roku. Wedle danych, już każda większa kancelaria prawna na świecie zetknęła się z próbą ataku ze strony cyberprzestępców.
Skalę zagrożenia pokazują niedawne badania firmy BlueVoyant, zajmującej się cyberbezpieczeństwem która w pierwszym kwartale 2020 r. przeanalizowała zabezpieczenia kliku tysięcy kancelarii. Wszystkie te firmy zetknęły się w tym okresie z jakąś formą ataku hakerskiego. W przypadku 15 proc. firm atak zakończył się powodzeniem i doprowadził do poważnego naruszenia bezpieczeństwa przechowywanych danych, natomiast w ponad połowie firm zaobserwowano podejrzane aktywności, w tym wykryto obecność złośliwego oprogramowania na wykorzystywanych przez kancelarie serwerach proxy.
Zbliżone w swojej wymowie są także niedawno upublicznione dane organizacji Solicitors Regulation Authority, która zrzesza firmy prawnicze w Wielkiej Brytanii. Okazało się, że wiosną 2020 r. – w dwóch pierwszych miesiącach po ogłoszeniu lockdownu - liczba oszustw phishingowych w brytyjskich firmach prawniczych wzrosła o 300 proc. W pierwszej połowie 2020 r. kancelarie z tego kraju zgłosiły, że cyberprzestępcy skradli im 2,5 mln funtów, czyli ponad trzykrotnie więcej niż w tym samym okresie w 2019 r.
Prawnicy często korzystają ze standardowego sprzętu sieciowego dostarczonego przez ich dostawcę usług internetowych. Ten sprzęt ma znane backdoory, które osoby atakujące mogą łatwo wykorzystać, aby dostać się do sieci firmy prawniczej. Czasami znajdujemy przestarzałe wersje systemu Windows, niezaszyfrowane dyski na komputerach i wyłączone zapory. Ponadto niektórzy prawnicy używają zewnętrznych dysków twardych jako urządzeń do tworzenia kopii zapasowych. Bardzo często te dyski nie są szyfrowane ani chronione hasłem – ocenia sytuację Aidas Kavaliauskas z Amberlo, firmy będącej twórcą oprogramowania wspomagającego zarządzanie kancelarią prawną.
Amberlo ma także swe spostrzeżenia dotyczące tego, na co zwracają uwagę prawnicy wybierający dedykowane dla ich branży oprogramowanie. Otóż pytania o kwestie związane z bezpieczeństwem praktycznie się nie pojawiają. Nie dotyczy to jednak tylko polskich firm prawniczych, ale także i tych z innych krajów UE i Ameryki Północnej.
Tymczasem – zdaniem przedstawiciela Amberlo – regułą powinny być pytania o takie kwestie, jak np. gdzie są przechowywane i w jaki sposób są przetwarzane dane gromadzone w aplikacji? Jaka infrastruktura jest używana i jak jest chroniona? Czy są używane zapory sieciowe? Czy każdy serwer jest odizolowany od innych serwerów? Czy jest używana aktywna ochrona, która ostrzega o nietypowym zachowaniu? Czy wszystkie hasła są zaszyfrowane? Czy dostawca może zagwarantować, że hasła użytkowników końcowych są szyfrowane? Jak często są wykonywane kopie zapasowe? Czy są one zaszyfrowane i przechowywane w oddzielnej fizycznej lokalizacji? Kto z personelu dostawcy może uzyskać dostęp do systemu?
– Te pytania nie padają, bo dla znacznej części firm prawniczych nie są to istotne kwestie. Aby zmienić tę sytuację, musimy mieć standardy bezpieczeństwa dla firm technologicznych i kancelarii prawnych. Powinien istnieć proces certyfikacji i zbiór wskazówek dla firm prawniczych i klientów kancelarii prawnych, który ułatwiłby im wybór odpowiedniego usługodawcy, zadawanie właściwych pytań i upewnianie się, że wrażliwe informacje są odpowiednio zarządzane. I lepiej, żeby stało się to wcześniej, niż później – apeluje przedstawiciel Amberlo.
Po upublicznieniu swoich badań dot. wzrostu ataków na firmy prawnicze, z podobnym wezwaniem wystąpiła także firma BlueVoyant. Zaapelowała ona do władz amerykańskich, aby sektor prawny został zdefiniowany jako kluczowy dla zabezpieczenia infrastruktury krajowej. Przedstawiciele firmy podkreślili, że choć z pozoru branża wydaje się mała w porównaniu do operatorów telekomunikacyjnych czy dostawców innej krytycznej infrastruktury, to jednak ujawniane od czasu do czasu wyniki włamań w firmach prawniczych potrafią wstrząsnąć rynkiem.