Юридические фирмы несут этическую ответственность за защиту конфиденциальной информации своих клиентов, но недавней волны кибератак, похоже, недостаточно, чтобы убедить юридические фирмы усилить кибербезопасность.
Участившиеся атаки программ-вымогателей на юридические фирмы побудили Национальный центр кибербезопасности Великобритании на прошлой неделе опубликовать отчет об угрозах, в котором юридическому сектору сообщается, что самые глубокие, темные и конфиденциальные секреты их клиентов находятся под прицелом некоторых из самых плодовитых вымогателей на сцене — и пришло время серьезно заняться обеспечением безопасности сетей юридического сектора.
Время выбрано подходящее; всего несколько дней назад конгломерат закусочных Mondelez, стоящий за такими брендами, как Ritz и Oreo, заявил, что персональные данные 51 000 его нынешних и бывших сотрудников были скомпрометированы в результате кибератаки на его юридическую фирму Bryan Cave Leighton Paisner. Тем не менее, до сих пор на призывы к улучшению кибербезопасности юридические организации коллективно пожимают плечами, и кибератаки-вымогатели, конечно, не возражают.
Согласно недавнему отчету о киберугрозах для юридического сектора Великобритании, опубликованному NCSC, злоумышленники, нацеленные на юридический сектор, охватывают весь спектр – от мелких киберпреступников с готовыми программами-вымогателями до субъектов национальных государств, поддерживаемых Китаем, Ираном, Северной Кореей и Россией. Сообщается, что почти 75% из 100 крупнейших юридических фирм Великобритании пострадали от кибератак.
“В дополнение к обладанию личной информацией о своих сотрудниках, юридические фирмы обладают значительным объемом конфиденциальной информации, касающейся их клиентов”, – рассказывает адвокат и эксперт по кибербезопасности Джонатан Галло из Woods, Rogers, Vandeventer, Black PLC в Dark Reading о том, почему кибератаки тянутся в юридический сектор. “Это может включать не только личную информацию, но и другую конфиденциальную информацию, такую как конфиденциальная корпоративная информация, коммерческая тайна, информация о слияниях и поглощениях, медицинские записи и другая информация”.
Помимо конфиденциальных данных, которыми они владеют, и потенциального ущерба, который может нанести их разоблачение, лицензированные адвокаты несут этическое обязательство защищать секреты своих клиентов, что добавляет личную и профессиональную репутацию к списку потенциальных потерь.
Программы-вымогатели нацелены на юридические фирмы по всему миру
Только за первые два месяца 2023 года было совершено 10 кибератак против шести различных юридических фирм, согласно выводам группы реагирования на угрозы eSentire.
Помимо Mondelez, юридическая фирма Genova Burns LLC, расположенная в Ньюарке, штат Нью-Джерси, подтвердила, что в апреле была взломана, в результате чего была скомпрометирована личная информация неизвестного числа водителей Uber. Крупнейшее юридическое партнерство в Австралии, представляющее сотни клиентов и правительственные учреждения, HWL Elsworth, также было взломано поддерживаемым россией ALPHV / Blackcat этой весной.
“Репутационный ущерб – это большой риск, поскольку многие юридические фирмы являются организациями высокого профиля”, – объясняет Кристин Гэдсби, вице-президент по безопасности продуктов BlackBerry, для Dark Reading о ландшафте угроз в юридическом секторе. Она добавляет, что юридические фирмы являются хорошей отправной точкой для последующих атак на цепочки поставок.
“Инцидент с [Mondelez] подчеркивает необходимость укрепления цепочки поставок — эти типы атак являются одними из наиболее разрушительных стратегий, используемых киберпреступниками сегодня”, – говорит Гэдсби. “Эти организации могут быть связаны с другими целями, такими как их партнеры или клиенты, что делает их привлекательной отправной точкой для участников угроз”.
Однако в условиях растущего риска кибератак программ-вымогателей ежегодный опрос юридических фирм PricewaterhouseCoopers, проведенный британскими регуляторами кибербезопасности, показал, что 100 ведущих юридических фирм тратят менее 1% (всего 0,46%) своих комиссионных доходов на кибербезопасность, отмечается в их рекомендациях юридическому сектору.
Полные 64% ИТ-лидеров юридического сектора, опрошенных BlackBerry research, указали, что они напуганы объемом работы, необходимой для построения собственных операций внутренней безопасности, а 80% сказали, что программа была бы слишком дорогой, объясняет Гэдсби Dark Reading.
Как защитить данные юридической фирмы от кибератак вымогателей?
Для организаций с ограниченным бюджетом кибербезопасность начинается с выявления наиболее чувствительных “драгоценностей короны” организации и работы над их защитой в первую очередь, объясняет Дэн Траунер, старший директор по безопасности Axonius.
“Имея это в виду, даже если бюджет на ИТ / безопасность небольшой компании невелик, регулярное поощрение (и в идеале аудит) тех же базовых советов по кибергигиене, которые даются потребителям – включите MFA, установите доступные обновления программного обеспечения и будьте “вежливо параноидальными” перед лицом нежелательного общения, — значительно снизит риск еще до того, как эти элементы будут централизованно управляться с помощью корпоративных инструментов”, – говорит Траунер.
Дрю Шмитт из GuidePoint Research and Intelligence Team отмечает, что кибербезопасность в юридическом секторе начинается с базовых передовых практик информационной безопасности, включая исправление, обнаружение конечных точек и реагирование (EDR), наличие инструментов управления информацией о безопасности и событиями (SIEM), в дополнение к планированию реагирования на инциденты и многое другое.
Шмитт согласен с тем, что в дополнение к элементарной гигиене и обучению сотрудников в первую очередь следует уделять внимание наиболее конфиденциальным данным фирмы.
“Принятиеспециальных мер, направленных на защиту конфиденциальных данных, является отличным шагом на пути к упреждающему смягчению рисков, связанных с утечкой конфиденциальных и несвободных данных”, – говорит Шмитт. “Внедрение процессов классификации данных и технологий, направленных на защиту и предотвращение несанкционированного доступа и взаимодействия с конфиденциальными данными, поможет снизить риск того, что скомпрометированная учетная запись сможет извлекать данные из среды для вымогательства и / или продажи в темной Сети”.
Киберстрахование должно сыграть свою роль в реагировании юридических фирм
Эксперты сходятся во мнении, что киберстрахование имеет решающее значение для юридических фирм и связанных с ними организаций. Помимо покрытия убытков, страховые компании могут предоставить опыт реагирования на киберин-инциденты.
“Фирмам, которые еще не сделали этого, следует серьезно подумать о получении киберстрахования”, – говорит Галло. “Часто полисы киберстрахования предоставляют застрахованным такие ресурсы, как юристы по борьбе с кибератаками и группы реагирования на инциденты, как часть полиса”.
Как только обнаружен инцидент, первый звонок должен быть в компанию по киберстрахованию, добавляет Галло.
“В рамках общего плана реагирования фирмы на нарушения фирма должна заранее определить, какие ресурсы она будет использовать и с кем она свяжется в случае нарушения, например, со страховой компанией, юристами по кибератакам, службой реагирования на инциденты, фирмой по коммуникациям / связям с общественностью и т.д.”, – говорит Галло. “Используя эти ресурсы заранее и имея план на случай взлома, фирма сможет реагировать быстрее и эффективнее”.