Case studyRODO

Ochrona kancelarii prawnych

blackhat

Kradzież danych i kompromitacja kancelarii prawnej Drzewiecki, Tomaszek & Wspólnicy wstrząsnęła środowiskiem prawniczym w Polsce gdyż atak hackerów był ukierunkowany konkretnie na tą kancelarię. Działanie to zaskutkowało żądaniem okupu w wysokości 500 tyś. euro. Gdy kancelaria odmówiła, hackerzy stopniowo zaczęli publikację w sieci Internet wybranych poufnych danych ww. kancelarii.

Materiały, które opublikowano w anonimowej sieci TOR (znacząco utrudniającej identyfikację przestępców) zawierały takie informacje jak:

  • treść skrzynek pocztowych pracowników kancelarii
  • dokumentacja prowadzonych przez kancelarię spraw
  • dane o klientach

Dlaczego do tego doszło?
Ukierunkowane ataki (ATP) są największym źródłem zysków przestępców. W zależności od charakteru organizacji, przestępcy poświęcają pewną część czasu na jej poznanie (rekonesans), a następnie przystępują do ataku. Nie zawsze atak polega na łamaniu zabezpieczeń. Czasem źródłem informacji są skompromitowane hasła pracowników znalezione w śmieciach, „rozmowni” pracownicy czy brak polityki bezpieczeństwa dostawców usług informatycznych podczas przetwarzania Państwa danych na zewnętrznych serwerach.

Kto prowadzi atak?
Najczęstszym motywem jest chęć zasku. Niezależnie, czy atak jest wykonywany na zlecenie, czy z własnej inicjatywy hackera, motywem są pieniądze lub inne profity z tym związane. Najczęstszymi motywami są:

  • chęć kompromitacji konkretnej organizacji w wyniku walki handlowej (konkurencja)
  • zemsta byłego lub obecnego pracownika (frustracja, kiepskie wynagrodzenie itp.)
  • chęć zysku (sprzedanie wykradzionych danych na czarnym rynku)
  • chęć zysku (szantaż i okup)

Jak zaradzić takim sytuacjom?
Przeciwdziałanie polega na kilkuetapowym, systematycznym i konsekwentnym analizowaniu obecnego stanu zabezpieczeń Państwa danych, polityki haseł, polityki bezpieczeństwa oraz na uświadamianiu zagrożeń Państwa pracownikom. Międzynarodowa norma ISO/IEC 27001 pomaga w tego typu przedsięwzięciach, ale kluczem do sukcesu jest wiedza i doświadczenie osób, które specjalizują się w bezpieczeństwie, które to osoby wspierają Państwa organizację w zabezpieczaniu ważnych aktywów.

Co na to Kodeks Etyki Adwokackiej? (LINK DO DOKUMENTU)
Kodeks Etyki Adwokackiej, w paragrafie 19 nakłada na prawników obowiązek odpowiedniego (przede wszystkim skutecznego) zabezpieczania danych. Mówimy tu o jakichkolwiek danych, które mogłyby narazić na szwank dobre imię klienta, kancelarii i narazić ich na jakiekolwiek nieprzyjemności.

Kodeks_etyki_adwokackiej_paragraf_19

Chciałbym zaprosić Państwa do rozmowy na temat potencjalnych zagrożeń dla Państwa danych. Zazwyczaj większość klientów nie posiadających wiedzy o bezpieczeństwie (brak odpowiednich zasobów) dowiaduje się o zagrożeniach dopiero w czasie rozmów z nami. Później firmy zdają sobie sprawę, że udany ukierunkowany atak ATP był tylko kwestią czasu.

Czy chcielibyście Państwo zaryzykować kontynuacją swojego biznesu jak pokazałem na przykładzie kancelarii Drzewiecki, Tomaszek & Wspólnicy? Bezpieczeństwo aktywów kancelarii prawnej trudno przeszacować. Jesteście Państwo osobami zaufania publicznego, a to trudno przeliczać na pieniądze. Zapraszamy!