Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Cyberzagrożenia w branży prawniczej

15 wrzesień 2023

Cyberzagrożenia w branży prawniczej
Redakcja

Redakcja

Nikt nie spodziewał się, że rok 2023 będzie rokiem naruszeń danych podmiotów prawnych. Liczba naruszeń, które miały miejsce w 2023 roku lub w tymże roku zostały zgłoszone, jest zadziwiająca wysoka. Jeszcze bardziej zdumiewające jest to, że cyberprzestępcy wydają się skutecznie atakować zarówno małe, jak i duże kancelarie. Jak podała organizacja Maryland State Bar Association — nie jest to tylko problem USA. W Europie krajowe agencje cyberbezpieczeństwa wydały ostrzeżenie, że podmioty prawnicze powinny zwiększyć swoje bezpieczeństwo.

Zmieniający się krajobraz cyberzagrożeń

Jeszcze w 2017 roku, według ankiety ABA Legal Technology, aż 22% podmiotów prawnych doświadczyło włamań lub naruszeń danych. Szcze-gólnie narażone były małe kancelarie z 10-49 prawnikami (35% do-świadczyło ataków) oraz średniej wielkości kancelarie z 50-99 prawnikami (33% doświadczyło włamań). Chociaż nie wszystkie te ataki prowadziły do nadużycia danych o klientach, to stanowiły one znaczące zagrożenie w zakresie nieautoryzowanego dostępu do ich wrażliwych danych. W miarę jak technologia ewoluuje, tak samo robią cyberprzestępcy, dostosowując swoje metody ataku do nowych technologii i praktyk. Współczesne ataki są bardziej zaawansowane i ukierunkowane, co sprawia, że są trudniejsze do wykrycia i zwalczania. Podmioty prawne, które przechowują wrażliwe dane klientów, takie jak informacje finansowe, dane osobowe oraz poufne dokumenty, stały się atrakcyjnym celem dla cyberprzestępców.

- Cyberbezpieczeństwo w branży prawnej nie jest już luksusem, ale koniecznością. Liczba ataków wciąż rośnie, ale świadomość klientów na temat cyberzagrożeń — również. Dlatego podmioty prawne muszą podjąć konkretne kroki, aby chronić swoje dane i reputację. To nie tylko kwestia technologii, ale także kultury organizacyjnej i edukacji — powiedział Rafał Stępniewski, prezes firmy Rzetelna Grupa oferującej usługi prawne dla biznesu, redaktor naczelny “Security Magazine” i właściciel marki Polityka Bezpieczeństwa.

Dodał, że dziś podmioty prawne są skarbnicami wrażliwych informacji, które, jeśli zostaną naruszone, mogą mieć katastrofalne skutki zarówno dla klientów, jak i dla samego podmiotu: — Kancelarie mu-szą być bardziej czujne niż kiedykolwiek wcześniej oraz inwestować w zaawansowane rozwiązania związane z cyberbezpieczeństwem. Współpraca z ekspertami w dziedzinie bezpieczeństwa jest nie tylko zalecana, ale zwyczajnie obowiązkowa. Branża prawna stoi obecnie przed wyzwaniami związanymi z cyberbezpieczeństwem, które nie były wcześniej tak wyraźnie widoczne.

W USA w 2023 roku do lipca złożono aż pięć pozwów zbiorowych przeciwko kancelariom prawnym (choć dwa z nich zostały wycofane). Podsta-wa? Kancelarie prawne nie miały właściwych zabezpieczeń, aby chronić swoje dane przed cyberatakami. “Zaskoczyło nas, jak wiele mniejszych firm zgłosiło naruszenia danych w 2023 r. Z pewnością muszą zwiększyć swoje zaangażowanie w cyberbezpieczeństwo, zwłaszcza w świetle mnożących się pozwów zbiorowych. W ubiegłym roku nastąpił 154% wzrost federalnych pozwów zbiorowych dotyczących naruszenia danych. Średnia pozwów przed tym trendem wynosiła 13 miesięcznie — obecnie wzrosła do 33 miesięcznie” — podała ameykańska organizacja prawnicza Maryland State Bar Association. Ponadto Checkpoint Research poinformował w kwietniu tego roku, że cyberataki wzrosły o 7% w pierwszym kwartale 2023 roku w porównaniu z pierwszym kwartałem 2022 roku. Co ciekawe, jeden na każde 40 ataków był skierowany przeciwko kancelarii prawnej.

Najczęstsze cyberzagrożenia w branży

Przechowywanie wrażliwych informacji klientów, zarówno indywidualnych, jak i korporacyjnych, sprawia, że kancelarie są atrakcyjnym celem dla różnego rodzaju ataków. Poznanie i zrozumienie najczęstszych cyberzagrożeń jest kluczowe, by zapewnić im skuteczną ochronę i utrzymać zaufanie klientów.

Ataki typu phishing

Phishing to technika, w której przestępcy próbują zdobyć wrażliwe informacje, takie jak dane logowania lub informacje o kartach kredytowych, poprzez podszywanie się pod wiarygodne źródło. Podmioty prawne, które regularnie przesyłają i odbierają wrażliwe informacje od klientów, są szczególnie narażone na tego typu ataki. Przestępcy często tworzą fałszywe e-maile, które wyglądają jak autentyczne wiadomości od klientów, próbując skłonić pracowników kancelarii do ujawnienia poufnych informacji lub kliknięcia na zarażone linki.

Zhakowane konta e-mail

Kiedy przestępcy zdobywają dostęp do konta e-mail pracownika kancelarii, mogą wykorzystać go do kradzieży wrażliwych informacji, przeprowadzenia ataków na innych pracowników lub klientów, a nawet do manipulowania toczącymi się sprawami. Ponieważ wiele kancelarii prawnych polega na komunikacji e-mailowej w swojej codziennej pracy, zhakowane konta e-mail mogą prowadzić do poważnych naruszeń danych.

Ransomware

Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane na komputerze ofiary, uniemożliwiając dostęp do nich, dopóki nie zostanie zapłacony okup. Podmioty prawne, które przechowują wrażliwe informacje klientów, są atrakcyjnym celem dla przestępców stosujących ransomware. Nawet jeśli zdecyduje się zapłacić okup, nie ma gwarancji, że dane będą odszyfrowane lub że przestępcy nie będą próbowali ponownie zaatakować w przyszłości.

Naruszenie danych

Kancelarie prawne przechowują ogromne ilości wrażliwych informacji, od danych osobowych klientów po poufne dokumenty prawne. Naruszenie tych danych może prowadzić do poważnych konsekwencji prawnych, finansowych i reputacyjnych. Wycieki danych mogą wynikać z wielu przyczyn, od ataków zewnętrznych po błędy ludzkie wewnątrz organizacji.

Zarzuty zaniedbania

Cyberbezpieczeństwo stało się kluczowym zagadnieniem, dlatego podmioty prawne muszą być bardziej ostrożne niż kiedykolwiek wcześniej. Jeśli nie podejmują odpowiednich środków ostrożności, aby chronić dane swoich klientów, mogą zostać oskarżone o zaniedbanie. Takie zarzuty prowadzą do poważnych konsekwencji prawnych, w tym do pozwów zbiorowych i wysokich odszkodowań.

Przykładami zaniedbań w tym zakresie są te, które doczekały się choćby decyzji prezesa Urzędu Ochrony Danych Osobowych. I choć nie dotyczą one bezpośrednio cyberataków, to są efektem zaniedbań, które jednak się zdarzają.

I tak:

  • w czerwcu 2021 roku zapadła decyzja prezesa UODO dotycząca naruszenia ochrony danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej Lex Nostra, która nie zgłosiła naruszenia w ciągu 72 godzin oraz nie zawiadomiła o tym fakcie osób, których dotyczyło naruszenie. Dane fundacja utraciła w związku z kradzieżą teczek zawierających te dane, ale uznała, że nie jest to sprawa priorytetowa. Kara wyniosła prawie 14 tys. zł.

  • w maju tego roku prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 23 tys. zł na Rzecznika Dyscyplinarnego Izby Adwokackiej w Warszawie w związku z naruszeniem przepisów RODO poprzez niewdrożenie odpowiednich środków technicznych oraz organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych.

  • również w maju tego roku prezes UODO nałożył na Prokuraturę Rejonową administracyjną karę pieniężną w wysokości 20 tys. zł za niezawiadomienie organu o naruszeniu ochrony danych osobowych oraz niezawiadomienie osób, których dane objęto naruszeniemniem. Prokuratura przekazała lokalnemu dziennikarzowi w ramach odpowiedzi na wniosek złożony w trybie ustawy o dostępie do informacji publicznej niezanonimizowanej dokumentacji z zakończonego postępowania. Dziennikarz ten opublikował je w lokalnym serwisie internetowym, anonimizując wcześniej dane osobowe.

Najczęstsze błędy podmiotów prawnych w zakresie cyberbezpieczeństwa

Chociaż wiele z nich inwestuje w zaawansowane technologie zabezpieczające, nadal popełniają one pewne podstawowe błędy, które mogą narażać je na poważne ryzyko. Najczęstsze błędy w tym zakresie to:

  • Zbyt duże poleganie na zabezpieczeniach zewnętrznych. Jednym z najczęstszych błędów popełnianych przez kancelarie prawne jest zakładanie, że jedynym sposobem na minimalizację szkód wynikających z ataków cybernetycznych jest wdrożenie zewnętrznych technologii zabezpieczających, takich jak zapory ogniowe czy oprogramowanie antywirusowe. Chociaż takie zabezpieczenia są niezbędne, ich skuteczność jest ograniczona, jeśli atakujący znajdzie sposób na ich obejście.

  • Korzystanie z otwartych modeli zabezpieczeń. Wiele kancelarii prawnych korzysta z otwartych modeli zabezpieczeń, które udostępniają wszystkim pracownikom swobodny dostęp do wrażliwych informacji klientów. W dzisiejszym środowisku bezpieczeństwa ryzyko związane z takim modelem, w którym przestępca zdobywający dane uwierzytelniające dowolnego użytkownika ma dostęp do wszystkich informacji klienta kancelarii, jest zbyt duże.

  • Brak polityki przechowywania danych. Wielu kancelariom prawnym brakuje polityki przechowywania danych. Firmy, które nie mają takich polityk, często zachowują wszystkie dokumenty i inne dane klienta, które posiadają. Może to prowadzić do nadmiernego gromadzenia danych, umożliwiając cyberprzestępcom kradzież wrażliwych dokumentów klienta z przeszłości.

  • Brak odpowiedniego szkolenia i świadomości. Jednym z najczęstszych błędów popełnianych przez kancelarie prawne jest niedostateczne szkolenie i budowanie świadomości wśród pracowników, również tych, którzy prawnikami nie są. Ataki typu phishing czy inne zaawansowane metody są skuteczne, gdy pracownicy nie są świadomi zagrożeń i nie wiedzą, jak się przed nimi chronić.

  • Brak silnej technologii zarządzania informacjami. Kancelarie prawne mogą ograniczyć szkody wynikające z ataków, które przeniknęły rzez ich zabezpieczenia zewnętrzne, wdrażając silne technologie zarządzania informacjami. Takie technologie umożliwiają podmiotom prawnym zapewnienie, że użytkownicy muszą się odpowiednio uwierzytelnić, aby uzyskać dostęp do informacji, oraz że mogą uzyskiwać dostęp tylko do informacji, które są dla nich istotne.

Konsekwencją braku reakcji lub niesprostaniu wyzwaniom związanym z atakami wymierzonymi w stronę kancelarii prawnej, jest też utrata zaufania klientów.

- Zaufanie w kontekście relacji klient — kancelaria prawna to nie tylko podstawa, a wręcz filar, na którym opiera się cała współpraca. Tam, gdzie w grę wchodzą nie tylko skomplikowane kwestie prawne, ale przede wszystkim ludzkie losy, historie i tajemnice, zaufanie staje się walutą, której wartości nie można przecenić. Klienci powierzają prawnikom nie tylko swoje sprawy, ale często najgłębsze sekrety, wierząc, że są one odpowiednio chronione i wykorzystane wyłącznie w celu ochrony ich interesów. Kiedy dane mogą zostać zhakowane, a informacje trafiać w niepowołane ręce, zaufanie do kancelarii prawnej obejmuje również przekonanie o jej kompetencjach w zakresie cyberbezpieczeństwa. Wniosek z tego jest taki, że bez zaufania trudno wyobrazić sobie skuteczną i owocną współpracę w dziedzinie prawa. To nie tylko kwestia profesjonalizmu, ale przede wszystkim ludzkiego wymiaru relacji prawnik-klient — powiedziała Anna Stępniewska, radca prawny, dyrektor działu prawnego spółki Rzetelna Grupa.

Jak przed cyberatakami może chronić się branża prawna?

Aby to zaufanie utrzymać, kancelarię należy chronić przed cyberzagrożeniami, a w przypadku ich wystąpienia, w sposób profesjonalny bronić się przed nimi. Dlatego cyberbezpieczeństwo w branży prawnej, jak w każdej innej, nie może być jednorazowym procesem. Wymaga dostosowywania wewnętrznych systemów i zabezpieczeń oraz czujnych praktyk w celu szybkiego wykrywania i reagowania na naruszenia.

Przykłady technologii i narzędzi, które podmioty prawne powinny rozważyć:

  • Polityka Akceptowalnego Użytkowania. AUP wyraźnie określa zasady, których pracownicy muszą przestrzegać w odniesieniu do sieci firmy, oprogramowania, komputerów, laptopów i urządzeń mobilnych. Pomaga to zrozumieć pracownikom ich obowiązki w zakresie technologii i edukować ich w zakresie identyfikacji potencjalnych cyberzagrożeń.

  • technologia oparta na chmurze. Chociaż wiele kancelarii prawnych wciąż obawia się przenoszenia swoich danych do chmury, prawda jest taka, że rozwiązania oparte na chmurze są znacznie bezpieczniejsze niż oprogramowanie zainstalowane lokalnie. Dostawcy rozwiązań SaaS mają zespoły dedykowane wyłącznie zapewnieniu, że ich infrastruktura IT jest jak najbardziej bezpieczna.

  • plan reagowania na incydenty. Każdy podmiot prawny powinien być przygotowany na ewentualność naruszenia bezpieczeństwa. Skuteczny plan reagowania na incydenty powinien zawierać kroki takie jak: klasyfikacja rodzaju/rozmiaru incydentu, początkowe raportowanie, eskalacja incydentu, informowanie dotkniętych osób i organizacji, badanie i zbieranie dowodów, łagodzenie dal-szych ryzyk i wdrażanie środków naprawczych.

  • szyfrowanie. Jest to bezpłatne lub niskokosztowe rozwiązanie do ochrony przed nieautoryzowanym dostępem do danych. Szyfrowanie plików i e-maili jest coraz bardziej popularne wśród kancelarii prawnych, zwłaszcza tych większych.

  • ocena bezpieczeństwa. Regularne przeglądy własnych podatności i korzystanie z usług firm zewnętrznych do przeprowadzania ocen bezpieczeństwa może ujawnić potencjalne luki w zabezpieczeniach kancelarii.

  • narzędzia do zarządzania hasłami. Takie narzędzia, jak KeePassXC czy Dashlane, pomagają w przechowywaniu i generowania silnych haseł, co jest kluczowe dla ochrony wrażliwych informacji.

  • rozwiązania do tworzenia kopii zapasowych. Z uwagi na rosnącą liczbę ataków ransomware, posiadanie solidnych kopii zapasowych jest kluczowe. Kancelarie prawne powinny korzystać z rozwiązań online, takich jak EaseUS czy Paragon Backup & Recovery, aby regularnie tworzyć kopie zapasowe swoich danych.

Wnioski

Podmioty prawne są szczególnie narażone na ataki cybernetyczne ze względu na wrażliwość przechowywanych przez nie informacji. Chociaż niemożliwe jest całkowite zabezpieczenie się przed atakami, wiele kancelarii popełnia proste błędy, które zwiększają ryzyko udanego włamania i szkód wynikających z takich naruszeń.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności