Kancelarie prawne strzegą wielu tajemnic biznesowych i dlatego włamywacze na całym świecie coraz częściej biorą je na cel. Włamanie do kancelarii jest bardziej opłacalne i mniej ryzykowne, niż włamywanie się do każdego z jej klientów z osobna. Nic dziwnego zatem, że GIODO zapowiedział na 2016 r. wzmożenie kontroli bezpieczeństwa informacji w kancelariach - piszą Marcin Godula i Łukasz Szymański z firmy nFlo Sp. z o.o..
Informacja biznesowa jest cennym towarem. Można ją sprzedać na czarnym rynku lub wymusić okup w zamian za jej nieujawnianie. Dzięki niej można także zbić fortunę na giełdzie. Ze względu na naturę wykonywanych usług, kancelarie prawne są podmiotami podlegających szczególnie wysokiemu ryzyku. Włamanie do kancelarii jest dla złodziei informacji znacznie bardziej opłacalne i mniej ryzykowne, niż włamywanie się do każdego z jej klientów z osobna. Ponieważ szanse na schwytanie sprawców są w praktyce niewielkie, a dane potencjalnie bardzo wrażliwe, GIODO stawia na profilaktykę i zapowiada nasilenie kontroli kancelarii prawnych. Pytanie zatem, jakie konkretne zagrożenia czyhają na kancelarie, i co mogą zrobić, by nie paść złodziejami informacji?
Nic się nie dzieje? Niedobrze…
Najpoważniejszym zagrożeniem dla kancelarii są ataki socjotechniczne. Złodzieje informacji wiedzą z doświadczenia, że ludzie stanowią najsłabsze ogniwo systemów zabezpieczeń. Choć prawnicy są grupą relatywnie świadomą potencjalnych zagrożeń, to wciąż tylko ludzie – mają emocje, ciekawość, słabości… Ostatnio okazało się, że aby paść ofiarą ataku, nie trzeba robić niczego nierozsądnego czy podejrzanego. Nawet dokumenty przesyłane w ramach normalnych relacji biznesowych potrafią zawierać makra (zestawy poleceń przeznaczonych do wykonania przez określoną aplikację; rodzaj niesamodzielnego programu komputerowego), które w ostatecznym rozrachunku pozwalają przejąć kontrolę nad komputerem.
Współczesny atak nie ma w sobie nic spektakularnego. Złodzieje informacji działają tak, by ofiara jak najdłużej żyła w przekonaniu, że wszystko jest w porządku. Taka „cicha wpadka” to najpoważniejsze zagrożenie – problem dotyczący jednego pracownika praktycznie automatycznie naraża całą kancelarię i wszystkich jej klientów. Im większa kancelaria, tym ryzyko większe. W Polsce było już co najmniej kilka przypadków wymuszeń w związku z zaszyfrowaniem przez wirus z rodziny CryptoLocker dokumentów nie tylko na lokalnym dysku, ale także na dyskach sieciowych, do których użytkownik miał dostęp. Cyberpol właśnie poinformował o nowej fali ataków tego rodzaju w USA i w Europie.
Czas na badania okresowe
Skoro nawet GIODO zauważa, że kancelarie prawne są w grupie podwyższonego ryzyka, raczej nie ma na co czekać. Trzeba zastanowić się, jakie mogą być potencjalne cele, i na tej podstawie zdecydować, co i jak warto zabezpieczać. Skuteczne podejście będzie uwzględniać ludzi – systematyczne szkolenie pracowników jest niezbędne. Trzeba systemy sprawdzić konfigurację oraz uprawnienia pracowników w aplikacjach i infrastruktury, oraz dokonać trzeźwej oceny systemów zabezpieczeń. Jeśli system bezpieczeństwa ma faktycznie być szczelny, wszystkie te elementy są ważne.
Bezpieczeństwo informacji mogą znacząco podnieść również rozwiązania służące do automatycznego monitorowania tego, co dzieje się w sieci, aplikacjach i na komputerach pracowników. Można jednak także pójść o krok dalej i solidnie zabezpieczyć samą informację. Chodzi o to, by nie można jej było odczytać nawet wtedy, gdy przechytrzeni zostaną ludzie, a także procedury, systemy uprawnień i zabezpieczenia. Jeśli wszystkie powyższe narzędzia zostaną wykorzystane, można mówić o względnym sukcesie. Pełny nie nastąpi zapewne nigdy.