מחקר חדש: פירמות עורכי דין הן הקלות ביותר ליפול לידי האקרים ומתקפות סייבר/ פוסט אורח

מצד אחד הן מתנהלות כמו ארגון קטן שאינו מוטרד מסיכוני סייבר ומצד שני מחזיקות מידע רגיש שמהווה עניין רב לתוקפים/ *עינת מירון לפני כשבועיים, גרובמן-שייר-מייזלס וזאקס, פירמת עורכי דין ענקית מניו יורק, קיבלה הודעה שאם לא תשלם 42 מיליון דולר הקבצים שלה, נכסי המידע שלה ושל לקוחותיה, שהוצפנו, ימצאו את עצמם חשופים במלואם ברשתות החברתיות ובמקומות אחרים, נחמדים פחות.

כעבור יממה, הסכמי התקשרות ושאר מסמכים שקשורים ישירות בכוכבת הפופ ליידי גאגא הופצו ב- Dark Net (הרשת האפלה. רשת מחתרתית שמשמשת לפעילות עבריינית ברובה), והביכו את מנהלי הפירמה. במקביל, איימו התוקפים כי ידליפו גם מידע הנוגע לנשיא טראמפ. בפירמת עורכי הדין פנו ל-FBI וביקשו מהם להכריז על האירוע כאירוע טרור וככזה, לאסור על כל קיום מו"מ עם התוקפים.

בינתיים נעצרו הדיווחים על מידע נוסף שדולף באירוע המדובר, כך שניתן להניח שהרשויות הפדרליות אכן נכנסו לתמונה, אבל מי שקצת מכיר אירועים בעולמות הסייבר, יודע שזה ממש לא מעיד על סיומו של האירוע.

משומה, משרדי עורכי דין, חושבים שלהם זה לא יקרה. נדמה להם שמתקפת סייבר היא דבר שמאיים רק על חלק מהלקוחות שלהם, בעוד שבפועל, דווקא הם, לעיתים יהיו היעד העיקרי של התוקפים. בעולם אבטחת המידע נהוג להתייחס למהלך שכזה כצד ג או כשרשרת אספקה, מונח שעלול להישמע שולי וזניח אבל האמת היא שמדובר בציר חשוב ומרכזי מאין כמוהו.

תוקף (האקר) שמחפש מידע מפליל על ארגון כלשהו יודע שהארגון משקיע משאבים רבים כדי להגן על עצמו, אבל משרד עורכי הדין שלו...? אם יש לו איש אבטחת מידע שמדי פעם מעדכן עבורו את תוכנת האנטי-וירוס, זה ממש חריג.

בימים האחרונים פורסם *מחקר מקיף של חברת אבטחת מידע בשם BlueVoyant שניתחה סטטוס בקרב 2,000 משרדי עורכי דין ברחבי העולם. המסקנה שלהם לא פחות ממדהימה - דירוג סיכון הסייבר בתחום המשפטי דומה לזה שמוגדר בגופי הפיננסיים והאנרגיה. מדהים יותר הוא שמדובר בגופים שבשגרה משקיעים הון עתק בהגנת סייבר בהשוואה לשאר הסקטורים במשק - ובטח לאלה בעולם המשפטי.

בתחום Cyber Resilience נשאף תמיד להבין ולהכיר את סיכון הסייבר הייחודי לפעילות העסקית, במטרה לטפל בו ולצמצם אותו ככל האפשר. הכלי המרכזי בו נשתמש יהיה נהלים הגיוניים ופשוטים למימוש בשילוב מספר תפיסות הגנה המתאימות לארגון עצמו, ללא תלות במה שעושה הפירמה המתחרה או כמה היא משקיעה. כל פירמה והצורך המשתנה שלה, כל פירמה והסיכון שלה, גם אם ישנם מספר סיכונים גנריים.

אחד הדברים המשמעותיים שעולים מאותו המחקר של BlueVoyant הוא "חוסר ההתחשבות" של האקרים. מבחינתם, כל הכלים כשרים וכל המתקפות המוכרות באות לידי ביטוי, גם אם מדובר בתותחים כבדים בשדה קרב לא שיוויוני. אין פשרות.

מתקפות כופר, השבתה, איומים וסחיטה בהעברת מידע ב- Dark Net ועד להעברת מידע מפליל על לקוחות לידי משרד מתחרה. במלחמה כמו במלחמה.

אז מה יכולים משרדי עורכי דין לעשות כדי להגן על עצמם וכדי להקטין ולצמצם את החשיפה שלהם לאירועי סייבר? האמת שלא מעט, והבשורה הטובה היא שבהחלט יש מה לעשות - גם מבלי להפוך למעצמה טכנולוגית.

בין הדברים שנמליץ למשרדי עורכי דין: - גיבוש ועדת היגוי בראשות הנהלת המשרד להכרת והגדרת הסיכון.

- הגדרת "טריגרים" ברורים, העלולים להוות סכנה מיידית. למשל, שיח שמתפתח ברשתות החברתיות בנושא מסוים, זיהוי ניסיון (או הצלחה) לאיסוף מידע, דגל אדום שמורם לגבי מהלך שבוצע ושחורג מנהלים ועוד.

- העלאת מודעות בקרב העובדים לאיומים השונים. הדרכות, כולל תרגילים ייעודיים להגברת הערנות.

- החלת מדיניות בנושאי העברת מידע (האם מסמך יישלח, ללא בחינה, לכל גורם מבקש?), בחינת הערוצים שבהם ניתן להעביר את המידע (האם מידע יועבר באמצעות תוכנת מסרים מיידיים כמו וואטסאפ או שמא יש מסמכים שיוחל עליהם נוהל בקרה קפדני יותר ומוצפן?), הקשחת סיסמאות והוספת מנגנוני אישור כפולים (האם תשלומי ספקים מאושרים באמצעות הודעת דוא"ל אחת?) וכיוצ"ב.

- בחינת התקשרויות וחוזים עם ספקי שירות כמו אחסון אתר האינטרנט, שירות הסעדה, ליסינג וכד', כך שיבטיחו שמירה על זמינות, ואחריות למול בעלי העניין במקרה הצורך.

- בחינת סטטוס פתרונות הגנה מותאמים לארגון, לצרכיו וליכולותיו. האם לכל עובד הרשאה שוות ערך לטיפול במסמכים? האם ניתן להוציא מהארגון תוכן ולעבוד עליו מבית קפה? ניהול הרשאות הוא דרך קלה יחסית לצמצם חשיפה לדליפת מידע.

בדיוק כמו שעורך דין לא ימליץ ללקוח שנדרש להגיע לחקירה, להתייצב אליה ללא יעוץ מקדים, כך נדרשות פירמות עורכי דין, הגם שהן בטוחות ומשוכנעות שהן בקיאות ויודעות ואולי אפילו ליוו בעברן חברת סייבר ברמה המשפטית, להתייעץ ולהבין, הלכה למעשה, את כללי המשחק, בהם פועלים תוקפים פוטנציאליים. ועוד לא אמרנו אף מילה על הסיכון המשפטי עבורן, במקרה של תביעה מצד לקוח בגלל הזנחת שאלות אבטחת המידע והגנת הסייבר.

סיכון סייבר עסקי הוא סיכון משמעותי שעלול לפגוע בצורה הרסנית בכל ארגון, ובפרט בפירמת עורכי דין - גדולה או קטנה. אם גרובמן-שייר-מייזלס וזאקס הניויורקית נפלה קורבן למתקפה

קשה ויקרה כל כך, כאשר אין ספק שיש ברשותה את המשאבים להגן על עצמה, תחשבו מה עלול לקרות אצלכם ותפעלו, עוד היום, כדי להגן על עצמכם ועל הלקוחות שלכם.

מעוניינים לשוחח עם עינת מירון? שלחו לנו מייל לכתובת: info@gmail.com. רוצים להתעדכן בפוסטים חדשים שעולים לבלוג? הצטרפו לרשימת התפוצה שלנו (בתחתית העמוד) או עקבו אחרינו בפייסבוק. *למחקר שהוזכר בפוסט: https://www.legalfutures.co.uk/latest-news/law-firms-under-constant-cyber-attack


*עינת מירון היא יועצת מומחית לארגונים עסקיים בתחום Cyber Resilience, המלווה בתהליך הערכות והתמודדות עם צמצום החשיפה לאירועי הסייבר בהיבטים העסקיים.