Law firms are the prime targets for hackers – they possess the best sources of sensitive data regarding financial affairs, court cases including trade secrets – writes Artur Piechocki in the LegalTech report 2021
The method adopted by the government about communicating the prize in the national vaccine lottery can be used by hackers for phishing – Natalia Polańska comments on prawo.pl
July 6, 2021
The popularity of NFT has made them being offered on numerous virtual stocks and they gain in value. Nowadays purchasing a token has become an attractive way of capital placement and additional source of income for many people – comments Katarzyna Gorzkowska for Gazeta Prawna
August 17, 2021
Badania C.H.Beck i Kantar przeprowadzone wśród prawników, dotyczące cyberbezpieczeństwa, mają dużą wartość, ponieważ wskazują nie tylko na poziom świadomości zagrożeń cybernetycznych, ale również na działania, które tym zagrożeniom mają zapobiegać. Faktyczny poziom prób naruszenia bezpieczeństwa systemów informatycznych z pewnością jest znacznie wyższy niż zgłoszony w raporcie, jednak nie są one nawet widoczne dla użytkowników tych systemów, ponieważ są one neutralizowane automatycznie, dzięki np. firewallom, czy choćby regułom skrzynek pocztowych. Weryfikacja liczby faktycznych prób naruszenia bezpieczeństwa wymagałaby stosowania wyspecjalizowanego i kosztownego oprogramowania typu SIEM (Security Information and Event Management). Z pewnością wielkość kancelarii ma wpływ zarówno na uzyskanie statusu celu ataku, jak i na zdolność obrony przed nim. Nie zapominajmy, że kancelarie posiadają dane wyjątkowo cenne dla cyberprzestępców, dotyczące spraw majątkowych, sądowych, w tym tajemnice przedsiębiorstw. Właśnie z tego powodu danych klientów, które posiadają, kancelarie mogą stać się ofiarą ataku, nie zaś ze względu na sam fakt świadczenia usług.
Ciekawa część statystyk dotyczy rodzajów ataków. Nadal podstawowym sposobem pozyskania przez przestępców wrażliwych informacji jest socjotechnika. Zjawisko
„hacking wetware”, bazuje na założeniu, że człowiek, jako ów „wetware”, jest najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa. Znacznie łatwiej jest bowiem wysłać setki tysięcy maili zawierających malware niż próbować przełamać skomplikowane zabezpieczenia fizyczne lub logiczne. Z pewnością bowiem wśród setek tysięcy odbiorców znajdzie się ktoś, kto, np. czeka na paczkę kurierską i kliknie link w mailu otrzymanym od rzekomej firmy kurierskiej. Dalszy scenariusz można łatwo przewidzieć.
Szczególną popularnością cieszy się w ostatnich latach wyjątkowo nieprzyjemny sposób ataku, tzw. ransomware. To oprogramowanie szyfrujące urządzenie końcowe, z którego korzystamy, na tyle skutecznie, że tylko zapłata okupu, np. w bitcoinach, skłoni przestępcę do odblokowania naszego sytemu. Incydent tego typu nie dotyczy zatem uzyskania dostępu do danych, ale wręcz przeciwnie – uniemożliwienia takiego dostępu. Nadal niewiele notuje się ataków typu DDoS (Distributed Denial of Service). Polegają one na kierowaniu bardzo dużej liczby zapytań z sieci urządzeń przejętych przez przestępców (tzw. botnet) do serwerów np. kancelarii, które w pewnym momencie stają się na tyle przeciążone, że przestają odpowiadać na jakiekolwiek zapytania, również te pochodzące, np. od klientów poszukujących na stronie internetowej
kancelarii kontaktu do danego prawnika. Oznacza to w praktyce wyłączenie całości serwisu, który znajduje się na tych serwerach, np. stron internetowych kancelarii.
Obrona przed tego typu atakiem jest wyjątkowo trudna i kosztowna, ponieważ wymaga zwykle rozwiniętej infrastruktury po stronie podmiotu zaatakowanego, która będzie w stanie rozproszyć atak i zneutralizować jego skutki. Wśród sposobów zabezpieczenia się przed cyberatakiem nadal niską pozycję zajmuje back-up oraz utrzymywanie danych w chmurze. Z drugiej natomiast strony największym powodzeniem cieszy się korzystanie z bezpłatnych rozwiązań chmurowych dotyczących poczty elektronicznej. Ów brak spójności wynika być może z braku świadomości, że faktycznie dane zawarte w mailach przesyłanych przy pomocy takiej poczty również znajdują się w chmurze, a zatem siłą rzeczy dane są utrzymywane w chmurze. Standardem przy tym stało się przetwarzanie i przesyłanie danych w ramach poczty elektronicznej w kontakcie z klientami (być może z wyjątkiem klientów, którzy udostępniają własne, wewnętrzne systemy komunikacyjne również dla prawników z zewnętrznych kancelarii świadczących obsługę na rzecz tych klientów).
Kontrowersyjne wydaje się korzystanie z bezpłatnej poczty elektronicznej w chmurze, bowiem nie tylko nie posługujemy się wtedy nazwą domeny wskazującą na naszą kancelarię, ale również nie korzystamy z profesjonalnych rozwiązań z zakresu cyberbezpieczeństwa dostarczanych w płatnych rozwiązaniach pocztowych w chmurze. Z pewnością pozytywnym zjawiskiem jest coraz częstsze szyfrowanie danych, na co wskazuje raport. W dużym stopniu mityguje to zagrożenia związane z korzystaniem z darmowej poczty. Wprawdzie zaledwie 52% badanych kancelarii korzysta z rozwiązań chmurowych, jednak zakres usług staje się coraz szerszy, np. księgowość. Z pewnością upraszcza to pracę prawnika, o ile oczywiście znajdujemy się w zasięgu internetu.
