62% z 454 kancelarii prawniczych, które wzięły udział w najnowszym badaniu organizacji International Legal Technology Association (ILTA), nie prowadzi żadnych praktycznych ćwiczeń dotyczących reagowania na incydenty związane z cyberbezpieczeństwem. W grupie kancelarii przeprowadzających takie ćwiczenia w większości bierze w nich udział dział IT lub bezpieczeństwa (82%), a także zarząd (60%). Tylko w co czwartej kancelarii w ćwiczenia są zaangażowane wszystkie działy firmy.
Praktyczne ćwiczenia dot. tego, jak reagować podczas cyberataku, pozwalają przećwiczyć jak powinni się zachować pracownicy kancelarii prawnych, aby minimalizować ryzyko ataku. Powinni w nich brać udział przedstawiciele wszystkich działów firmy, w tym w szczególności osoby zarządzające. Przeprowadzanie takich ćwiczeń często jest doradzane klientom korporacyjnym przez same firmy prawnicze, które jednak w znacznym stopniu – jak pokazało to badania ILTA 2021 – nie stosują się do własnych rad.
To jednak nie koniec niedoskonałości w polityce cyberbezpieczeństwa firm prawniczych. Według ILTA, większość kancelarii nie ma także żadnych procedur zabezpieczających podczas korzystania z Microsoft Teams, który jest ich głównym narzędziem do wideokonferencji. Przykładowo nie wprowadzają one żadnych ograniczeń dot. dodawania gości do spotkań, nie wymuszają konwencji w nazewnictwie oraz nie egzekwują stosowania przez pracowników kancelarii zabezpieczeń. Zauważalna jest także dysproporcja w podejściu do tematu cyberbezpieczeństwa przez duże i małe kancelarie prawne. Te pierwsze stosują wiele usług zabezpieczających, jak szyfrowanie za pomocą Azure Information Protection czy zabezpieczanie zasobów przez Cloud Access Security Broker (CASB). Małe kancelarie robią to bardzo rzadko.
Kancelarie prawne na celowniku cyberprzestępców
Kancelarie prawne stały się w ostatnich latach atrakcyjnym celem dla cyberprzestępców, ponieważ mają one dostęp do wielu wrażliwych informacji i pieniędzy swoich klientów. Nie stosują przy tym takich zabezpieczeń jak korporacje, a jednocześnie skala potencjalnych korzyści z udanego ataku jest większa niż w przypadku działań wymierzonych w zwykłych ludzi. Stąd coraz większa liczba ataków.
Skalę zagrożenia pokazują chociażby wyniki badania firmy zajmującej się cyberbezpieczeństwem BlueVoyant, która w pierwszym kwartale 2020 roku przeanalizowała zabezpieczenia kliku tysięcy kancelarii. Wszystkie te firmy zetknęły się w tym okresie z jakąś formą ataku hakerskiego. W przypadku 15% firm atak zakończył się powodzeniem i doprowadził do poważnego naruszenia bezpieczeństwa przechowywanych danych, natomiast w ponad połowie firm zaobserwowano podejrzane aktywności, w tym wykryto obecność złośliwego oprogramowania na wykorzystywanych przez kancelarie serwerach proxy.
Ciekawe dane przynoszą także badania firmy Allot, jednego z globalnych liderów w obszarze cyberbezpieczeństwa, na temat ataków w 2021 roku na firmy z sektora MSP (gdzie działa większość kancelarii). Według badań aż 24% firm z sektora MSP przyznało, że było ofiarą przynajmniej jednego cyberataku w minionym roku. Z kolei 22% twierdzi, że zdarzył się incydent w obszarze cyberbezpieczeństwa, ale nie potrafią powiedzieć, czy był on spowodowany atakiem. Tylko 29% firm jest pewnych, że nie było ofiarą cyberataku w minionym roku. Usunięcie skutków po takim ataku zajęło firmom średnio ok. 16 godzin, jednak suma utraconych korzyści związanych z nim wyniosła aż ok. 146 tys. dolarów.
Cyberprzestępcy najczęściej atakują firmy z sektora MSP z wykorzystaniem złośliwego oprogramowanie typu malware (64% wskazań w badaniach Allot) oraz oprogramowania ransomware (34%). Często dochodzi także do ataków na skrzynki pocztowe (22%), z wykorzystaniem wirusów (20%) oraz phishingu (18%).
Jak szybko poprawić bezpieczeństwo kancelarii prawnej?
Kancelarie prawne, które chcą szybko poprawić bezpieczeństwo przechowywanych danych, powinny przejść całkowicie na chmurę. Sprawi ona, że nawet jeśli cyberprzestępca dostanie się do sieci wewnętrznej, to nie znajdzie w niej nic wartościowego, bo wszystkie ważne dane będą przechowywane w chmurze. Dodatkowo łatwiej będzie zabezpieczyć urządzenia używane przez pracowników kancelarii prawnych, co jest szczególnie ważne w dobie coraz powszechnej pracy zdalnej.
Warto także pamiętać, że po migracji do chmury natychmiast zaczynasz dzielić się odpowiedzialnością za ochronę danych z dostawcą chmury, co oznacza, że poniesiesz mniejszą szkodę w przypadku naruszenia danych. Najwięksi dostawcy chmury, jak Amazon, Google czy Microsoft, wydają miliardy na cyberbezpieczeństwo. Większość kancelarii nie może sobie pozwolić nawet na ułamek takich wydatków. Dlatego w większości przypadków dane będą znacznie lepiej chronione w chmurze.
Ważne jest także, aby zwracać uwagę na to, jakie zabezpieczenia oferują wykorzystywane w kancelariach dodatkowe aplikacje, w tym zwłaszcza specjalistyczne oprogramowanie dla prawników. W procesie ewaluacji takich rozwiązań regułą powinny być pytania o takie kwestie, jak np.:
- Gdzie są przechowywane i w jaki sposób są przetwarzane dane gromadzone w aplikacji?
- Jaka infrastruktura jest używana i jak jest chroniona?
- Czy są używane zapory sieciowe?
- Czy każdy serwer jest odizolowany od innych serwerów?
- Czy jest używana aktywna ochrona, która ostrzega o nietypowym zachowaniu?
- Czy wszystkie hasła są zaszyfrowane?
- Czy dostawca może zagwarantować, że hasła użytkowników końcowych są szyfrowane?
- Jak często są wykonywane kopie zapasowe? Czy są one zaszyfrowane i przechowywane w oddzielnej fizycznej lokalizacji?
- Kto z personelu dostawcy może uzyskać dostęp do systemu?
- Czy dostawca ma ubezpieczenie, które pokryje straty klientów w przypadku incydentu związanego z naruszeniem bezpieczeństwa?
Takie pytania najczęściej nie padają, bo dla znacznej części firm prawniczych nie są to istotne kwestie. A tymczasem powinny być, bo zaniedbania w obszarze cyberbezpieczeństwa mogą kosztować kancelarię i jej klientów ogromne pieniądze. Inną sprawą jest, że tego typu informacje powinny być podawane przez producentów oprogramowania w taki sposób, jak robi to np. Amberlo. O stosowanych zabezpieczeniach w naszym systemie możecie przeczytać tutaj.