Kancelarie prawnicze coraz częściej padają ofiarą ataku hakerskiego. Przybiera on różne formy, a skala zagrożenia systematycznie rośnie. Zwłaszcza podczas przedłużającego się lockdownu. To poważny problem, bo w bazach prawników przechowywane są nie tylko poufne informacje, ale również wrażliwe dane o klientach. Niestety, eksperci alarmują, że główni zainteresowani nieco lekceważą niepokojące zjawisko.
Pandemia koronawirusa i wszelkie jej konsekwencje odcisnęły piętno przede wszystkim branżach, których podstawowym profilem działalności jest bezpośredni kontakt z klientem. Do nich należą prawnicy. Już lockdown wiosną zeszłego roku pokazał, że wiele polskich kancelarii prawnych (bez różnicy, jaki samorząd reprezentują: adwokaci, radcowie, notariusze) nie jest gotowa do niezbędnych w obecnej sytuacji technologicznych zmian. Na jaw wyszły bariery utrudniające ewolucję, a w tym przypadku potrzebna jest wręcz rewolucja. Brak sprzętu, właściwego oprogramowania, procedur, a przede wszystkim nieufność – zwłaszcza wśród starszego pokolenia prawników – do komunikacji poprzez elektroniczne łącza. Zresztą podobne przeszkody pojawiły się przy wprowadzaniu sądowych rozpraw on-line.
A tymczasem niespodziewanie pojawił się nowy, bardzo poważny problem.
„Każda większa kancelaria prawna na świecie zetknęła się z próbą ataku ze strony cyberprzestępców”
Tak niepokojące wnioski wyciągnięto na podstawie badań przeprowadzonych przez BlueVoyant, czyli firmę specjalizującą się w kwestiach cyberbezpieczeństwa. Jej eksperci zweryfikowali zabezpieczenia kilku tysięcy kancelarii prawnych i dokonali szokującego odkrycia. Z ich analizy wynika, że wobec wszystkich sprawdzonych firm hakerzy podjęli próbę zewnętrznej ingerencji.
„W przypadku 15 proc. firm atak zakończył się powodzeniem i doprowadził do poważnego naruszenia bezpieczeństwa przechowywanych danych, natomiast w ponad połowie firm zaobserwowano podejrzane aktywności, w tym wykryto obecność złośliwego oprogramowania na wykorzystywanych przez kancelarie serwerach proxy” – stwierdzili autorzy raportu.
To nie jest jedyny dokument, który obrazuje skalę ingerencji cyberprzestępców w prawnicze archiwa. Sami zainteresowani potwierdzają istnienie niepokojącego zjawiska. Według danych opublikowanych przez brytyjskie stowarzyszenie zrzeszające firmy prawnicze Solicitors Regulation Authority, wiosną zeszłego roku, w pierwszych miesiącach lockdownu, liczba oszustw phishingowych (tylko w tej branży!) wzrosła aż o 300 procent. Wiążą się one z poważnymi stratami – kancelarie na Wyspach przyznały, że wskutek tego procederu hakerzy przejęli 2,5 miliona funtów. I to tylko w pierwszym półroczu 2020, a kwota była trzykrotnie wyższa niż w tym samym okresie 2019 roku.
Dlaczego cyberprzestępcy wzięli na cel kancelarie prawnicze i skąd takie wzmożenie ataków?
Powodów jest kilka. Prawnicy dysponują poufnymi informacjami o klientach, nierzadko znacznie cenniejszymi niż sama gotówka. Poza tym zarządzają sporymi funduszami. Równocześnie bardzo długo po macoszemu traktowały kwestię zabezpieczeń swoich baz. I to się obecnie mści.
„Kancelarie zazwyczaj dysponują pakietem dokumentów, które zapewniają im zgodność z RODO. Jeśli jednak spytać te firmy, w jaki konkretnie sposób chronią dane i co muszą zrobić w przypadku naruszenia bezpieczeństwa, prowadzi to najczęściej do kłopotliwego milczenia”
Spostrzeżenie to potwierdzają eksperci.
„Często prawnicy korzystają ze standardowego sprzętu sieciowego dostarczonego przez ich dostawcę usług internetowych. Ten sprzęt ma znane backdoory, które osoby atakujące mogą łatwo wykorzystać, aby dostać się do sieci firmy prawniczej. Czasami znajdujemy przestarzałe wersje systemu Windows, niezaszyfrowane dyski na komputerach i wyłączone zapory. Ponadto niektórzy prawnicy używają zewnętrznych dysków twardych jako urządzeń do tworzenia kopii zapasowych. Bardzo często te dyski nie są szyfrowane ani chronione hasłem”
Sytuacja wywołała dyskusję, aby sektor prawny – pozornie niewielki, ale dysponujący informacjami, których niekontrolowany wyciek, mógłby wstrząsnąć rynkiem – został uznany za kluczowy dla zabezpieczenia infrastruktury krajowej. Taki pomysł pojawił się chociażby w Stanach Zjednoczonych.
Czy w Polsce skala problemu jest równie poważna? Serwis prawo.pl przypomniał, że chociażby Krajowa Rada Radców Prawnych opublikowała w grudniu drugą część Księgi Bezpieczeństwa Komunikacji Elektronicznej. Oczywiście, powstanie takiego dokumentu związane było z koniecznością przestawienia się z bezpośredniego kontaktu z klientem na pracę zdalną.
„Raporty i badania dotyczące rynku prawniczego wskazują na to, że opanowanie nowych technologii będzie najbardziej istotne w budowaniu przewagi konkurencyjnej. KRRP uznała , że należy dać radcom prawnym wsparcie w tym zakresie: dostarczyć im eksperckie opracowania i analizy narzędzi IT, które są dostępne na rynku dostarczając jednocześnie wiedzy jak można ich profesjonalnie używać zachowując poufność i tajemnicę zawodową. Bo to jest dla nas radców prawnych najważniejsze”
