The smallest law firms are most likely to cyberattacks because they are least protected despite they hardly found themselves the victims of cyberattacks – Artur Piechocki comments for Rzeczpospolita
The reaction on an incident should be adapted to a kind of a cyberattack – depending if it is a ransomware, a virus deleting files or DDOS – Artur Piechocki comments for Rzeczpospolita
April 12, 2023
APLAW for the 7. time in Media Law International ranking
April 21, 2023
Ochrona danych: kancelarie prawnicze bywają najsłabszym ogniwem
Co trzecia firma prawnicza deklaruje, że w ciągu ostatniego roku była na celowniku cyberataku.
Według raportu „LegalTech 2023”, ogłoszonego na konferencji pod patronatem „Rzeczpospolitej”, z próbami cyberataku spotkało się 33 proc. badanych. To najwyższy odsetek od czterech lat. Niektóry przestępcy specjalizują się w atakach na firmy prawnicze.
Najczęściej (57 proc.) był to tzw. phishing (czyli podszywanie się przez przestępców pod inną osobę bądź instytucje w celu wyłudzenia danych, haseł dostępu czy pieniędzy). Na drugim miejscu znalazło się rozsyłanie złośliwego oprogramowania (malware) oraz ataki DDOS (atak z setek tysięcy komputerów przejętych zdalnie, w wyniku którego pada serwer np. strony kancelarii).
Podatni na zagrożenie
– Kancelarie prawne powinny zwrócić szczególną uwagę na cyberzagrożenia – mówi adw. Przemysław Barchan, dyrektor Instytutu LegalTech przy Naczelnej Radzie Adwokackiej. – Mogą bowiem być bardziej niż ich klienci podatne na potencjalne ataki cyberprzestępców, stając się najsłabszym ogniwem systemu bezpieczeństwa informacji klienta.
Dotyczy to szczególnie kancelarii obsługujących podmioty z sektorów regulowanych: firmy te mają liczne obowiązki w zakresie cyberbezpieczeństwa. A kancelarie, poza ogólnym obowiązkiem zachowania tajemnicy zawodowej, nie muszą spełniać żadnych wymagań w zakresie cyberbezpieczeństwa, jak np. podmioty z rynku finansowego. W wielu jednak przypadkach sytuacja może się odwrócić i to kancelaria będzie lepiej zabezpieczona niż klient.
– Najbardziej podatne na ataki są najmniejsze kancelarie, jako że są najsłabiej chronione – mimo że rzadziej padają ofiarą takich ataków – mówi radca prawny Artur Piechocki. – Wynika to przypuszczalnie z mniejszej atrakcyjności dla cyberprzestępców zasobów posiadanych przez mniejsze kancelarie – dodaje.
Potwierdzają to dane z raportu. Wśród kancelarii zatrudniających cztery i więcej osób, obiektem ataku była ponad połowa (53 proc.), podczas gdy w przypadku jednoosobowych działalności prawniczych odsetek ten wynosi 24 proc. Jednocześnie aż 63 proc. z tych kancelarii korzysta z obsługi informatycznej tylko doraźnie (m.in. w przypadku cyberataku). Ogólnie odsetek ten wynosi 38 proc. Z kolei większe firmy prawnicze, co zrozumiałe, częściej korzystają z własnych zasobów kadrowych w tej kwestii (36 proc.).
Warto zgłaszać sprawę
Wspomniany phishing kolportowany bywa przez pocztę e-mail czy SMS-y. Może wyglądać np. jak wiadomość od potencjalnego czy nawet znanego klienta. Nowym trendem jest rozsyłanie takich linków przez social media (np. Facebook czy LinkedIn.)
– Sam padłem ofiarą próby takiego ataku – przyznaje mecenas Barchan. – Po kilku dniach od zagranicznej konferencji dostałem wiadomość od rzekomego jej uczestnika z prośbą o spotkanie w celu omówienia potencjalnej współpracy. Nadawca przesłał mi podejrzanie wyglądający link do aplikacji rezerwacji terminu spotkania. Na moją prośbę o zmianę formy komunikacji zaprzestał dalszego kontaktu. Dlatego zalecam wszystkim zwracanie szczególnej uwagi na otrzymywane linki, tym bardziej jeśli pochodzą od nieznanych nam nadawców – podkreśla.
Uzyskanie dostępu do systemu kancelarii to dopiero wstęp do właściwego ataku. Może on przybierać różne formy – najpopularniejszym jest ransomware – czyli oprogramowanie szyfrujące dostęp do danych – zostanie on przywrócony, jeśli ofiara zapłaci. Coraz częściej jednak przestępcy kopiują także dane ofiary w celu wyłudzenia okupu za powstrzymanie się przed ich upublicznieniem.
Artur Piechocki wskazuje że jeżeli już padło się ofiarą ataku, należy rozważyć sposób komunikacji – z klientem, jak i pracownikami. Lepiej poinformować klientów o ataku i podjętych środkach przeciwdziałania – bo zatajanie takich wiadomości może przynieść większe szkody niż sam atak.
– Klient może po swojej stronie podjąć środki zaradcze. Podstawą jest też zgłoszenie ataku organom ścigania – tłumaczy ekspert.
Niestety, wielu prawników tego nie robi, czy to z obawy o wizerunek kancelarii czy z przekonania, że sprawcy i tak pozostaną nieuchwytni. A to nieprawda – często da się namierzyć i ukarać przestępców.
