Юридические фирмы хранят настоящую сокровищницу данных, которую хакеры могут украсть. У них есть информация о кредитных картах, номера социального страхования и личные сведения о своих клиентах, которые могут быть использованы, если хакер найдет для этого возможность.

К сожалению, юридические фирмы просто сидят без дела перед кибератакой.

По мнению некоторых аналитиков , в 2015 году не менее 60% компаний столкнутся с утечкой данных. Тем не менее, только 21% лиц, ответственных за принятие решений в области технологий безопасности, сообщают, что улучшение реагирования на инциденты является критически важным приоритетом.

Большие данные влекут за собой большую ответственность. В 2015 году большие данные стали мейнстримом, а в 2016 году акцент сместится в двух направлениях. Во-первых, аналитики отойдут от простого сбора и систематизации массива данных и начнут двигаться к практическим выводам и предлагаемым курсам действий для своих компаний и подписчиков. Во-вторых, организации будут уделять больше внимания обеспечению безопасности всех этих данных.

В этой серии из двух частей будет рассмотрено, почему юридические фирмы слишком часто оказываются слабым местом в корпоративной безопасности данных. Он подробно расскажет, чего хотят хакеры, каковы будут последствия, если им это удастся, и конкретные шаги по устранению брешей в безопасности цифровых данных вашей компании.

Киберугрозы реальны и растут

Sony недавно столкнулась с пятью коллективными исками за неспособность должным образом защитить личную информацию бывших сотрудников. Кража данных часто до смешного проста.

Хакер, назвавший себя Guccifer в честь люксового бренда и властелина преступного мира, украл электронные письма влиятельных политиков с помощью одного-единственного обычного компьютера и мобильного телефона. У него нет повышения квалификации в области программного обеспечения или программирования. Настоящее имя Марсель-Лехель Лазар, он использовал VPN-туннель для изменения своего кажущегося IP-адреса, а затем буквально шесть месяцев угадывал имена пользователей и пароли, пока один из них не сработал. Затем он просмотрел электронную почту семьи Бушей, Колина Л. Пауэлла, военных и сотрудников разведки, а также множества знаменитостей. Лазар опубликовал огромный архив украденных писем на сайте cryptome.org. Сейчас он отбывает семилетний срок в румынской тюрьме за взлом.

Цена слабой безопасности значительна. Ponemon Institute подсчитал стоимость киберпреступлений в 2014 году. Он обнаружил, что стоимость выросла на 96% для американских организаций за последние пять лет. За это время общие затраты организации на утечку данных составили 12,7 миллиона долларов.

Согласно опросу 2015 года, проведенному NYSE Governance Services и Veracode, более 80% директоров говорят, что обсуждают вопросы кибербезопасности на большинстве, если не на каждом заседании совета директоров . Но 66% не уверены, что их компания сможет защитить себя от взлома.

По данным The Wall Street Journal , Allied Business Intelligence Inc прогнозирует, что в глобальном масштабе отрасли критически важной инфраструктуры потратят 46 миллиардов долларов в 2013 году на кибербезопасность . Когда цена нарушения высока, необходимы меры предосторожности. Эта же статья начинается с рассказа Роберта Карра, генерального директора Heartland Payment Systems Inc.

Хакеры нашли более 100 миллионов номеров кредитных и дебетовых карт его клиентов. Карр заплатил 150 миллионов долларов штрафов и судебных издержек. Хуже того, его авторитет в индустрии обработки платежей значительно пострадал. Тем временем Карр в четыре раза увеличил бюджет своей компании на безопасность, включая добавление дополнительных средств шифрования и мониторинга системы.

Это общая угроза - и, к сожалению, у юридических фирм есть свои собственные уникальные уязвимости, в том числе они становятся мишенью для хакеров.

Фирмы уязвимы

«Сегодня существует два типа юридических фирм, - написал недавно Стив Флетчер в Law Technology News. «Те, у кого была брешь в безопасности, и те, кто это сделает». Какими бы бдительными ни были корпорации, ФБР. официальные лица и эксперты по безопасности говорят, что юридические фирмы слишком часто оказываются слабым местом в броне корпорации. Винсент Полли, юрист из Блумфилд-Хиллз, штат Мичиган, является соавтором руководства по кибербезопасности Американской ассоциации юристов. Он описывает юридическую фирму, которая не относится серьезно к кибербезопасности, работая с защищенной корпорацией, как незапертый черный ход.

Это может быть связано с тем, что 89% опрошенных адвокатов по умолчанию используют незашифрованные и незащищенные электронные письма для общения с клиентами.

Хакеры знают об этом и все чаще используют юридические фирмы для кражи данных об интеллектуальной собственности и коммерческих секретов. По словам Дэниела Гарри, редактора-основателя журнала Journal of Law & Cyber ​​Warfare, эта информация невероятно ценна на черном рынке . Гарри сказал TribLive, что такие активы, как корпоративные финансовые отчеты, проприетарный программный код, промышленные образцы и электронные письма, имеют высокую цену на анонимных веб-сайтах. Это также имеет некоторые довольно очевидные преимущества для адвоката противной стороны. Также существует угроза того, что хакеры раскроют информацию о корпоративных сделках, которые все еще находятся в разработке.

Патрик Фэллон-младший - помощник специального агента ФБР, отвечающий за полевой офис в Питтсбурге. Он предупреждает адвокатов, что компьютерные атаки на юридические фирмы происходят каждый день. Он не упомянул, что хакеры не всегда незаконно перехватывают личную информацию. Иногда это госструктуры. Как сообщала New York Times, в прошлом году австралийское разведывательное агентство было поймано, когда оно работало с АНБ над перехватом сообщений между юристами Mayer Brown, крупной юридической фирмы из Чикаго . Американская ассоциация адвокатов написала письмо в агентство , напоминающее им , что они обязаны соблюдать принцип адвокатской тайны.

Однако сложно сказать, насколько часты кибератаки на юридические фирмы. Как пояснила New York Times , ограниченное прямое взаимодействие фирм с потребителями освобождает их от требований публично сообщать о взломе, как это сделали бы банк или розничный торговец. Но даже с этим ограничением консалтинговая компания по безопасности Mandiant подсчитала, что в 2011 году у 80% из 100 крупнейших американских юридических фирм были обнаружены злонамеренные компьютерные нарушения.

Лори Хоффман, директор по информационным технологиям юридической фирмы Goodwin Procter LLP, сказал Wall Street Journal: «Наши внешние интернет-сайты, вероятно, подвергаются атакам от 400 до 500 раз в неделю» сторонними ботами или атаками типа «отказ в обслуживании». «Такой вид деятельности - новая норма, и он поражает всех».

Обеспокоены крупные корпоративные клиенты. По мере роста угрозы, они все больше требуют от своих юридических фирм, чтобы предотвратить взломы конфиденциальной информации, согласно New York Times.

Банкиры с Уолл-стрит, продолжая свою давнюю традицию не баловаться, заставляют свои фирмы заполнять 60-страничные анкеты о том, что именно они делают для защиты своей частной информации. В этом не было бы необходимости, если бы юристы по-прежнему не носили конфиденциальную информацию на небезопасных флэш-накопителях, не использовали незашифрованную электронную почту на незащищенных iPad и не использовали общие сети в странах с высоким уровнем киберпреступности, таких как Россия и Китай. The Wall Street Journal сообщает проверка данных и передовых методов безопасности становится обычным делом, так как банки, такие как JP Morgan Chase & Co., Morgan Stanley, Bank of America Corp. и UBS AG, обращаются за советом. Они просят компании показать им свои компьютерные системы, чтобы узнать, какие технологии они используют, у кого есть доступ к их данным, и даже совершать визиты на места для подтверждения безопасности. В некоторых случаях несоблюдение требований приводит к тому, что банки пропускают фирму, ограничивают работу или меняют фирму.

«Юридические фирмы больше не могут позволить себе относиться к кибербезопасности второстепенно, - написал мне координатор Clio по социальным сетям и коммуникациям Дерек Болен. «Юридические фирмы обладают невероятным количеством конфиденциальных данных о клиентах и ​​отстают в применении современных стандартов безопасности, что делает их легкой мишенью. К сожалению, «безопасность данных» редко входит в учебную программу юридической школы, и поскольку примерно 50% юристов в США практикуют в индивидуальных или небольших фирмах, не имеющих местного ИТ-отдела, посвященного обеспечению безопасности данных, ответственность за обеспечение безопасности лежит на этих юристах. они осведомлены о методах кибербезопасности ».

Киберпреступность - дело рискованное и дорогое. Хакеры не будут беспокоиться, если у юридических фирм нет ценных данных. Пришло время компаниям создать свою инфраструктуру безопасности, которая будет равняться угрозе или превосходить ее. В следующем посте предлагаются конкретные предложения по снижению уязвимости к атакам.

Вывод

Юридические фирмы становятся все более слабым местом в защите данных корпораций. Хакерам нужен доступ к данным клиентов, платежной информации, электронной почте, интеллектуальной собственности и коммерческим секретам, которые хранятся на серверах юридических фирм. В следующей части я расскажу о конкретных шагах, которые помогут устранить пробелы в безопасности цифровых данных вашей компании.