Search magnifier

חיפוש

ברוכים הבאים לאתר אקסטרה - עדכני, מגוון ועשיר בכתבות ובמאמרים מקצועיים בשלל תחומים

פירמות עורכי דין הן הקלות ביותר ליפול לידי האקרים

מצד אחד פירמות עורכי הדין מתנהלות כמו ארגון קטן שאינו מוטרד מסיכוני סייבר, "לנו זה לא יקרה", ומצד שני הן מחזיקות מידע רגיש

התגוננות מהאקרים | צילום: shutterstock

במהלך חודש מאי 2020, גרובמן-שייר-מייזלס וזאקס, פירמת עורכי דין ענקית מניו יורק, קיבלה הודעה שאם לא תשלם 42 מיליון דולר הקבצים שלה, נכסי המידע שלה ושל לקוחותיה, שהוצפנו, ימצאו את עצמם חשופים במלואם ברשתות החברתיות ובמקומות אחרים, נחמדים פחות.

כעבור יממה, הסכמי התקשרות ושאר מסמכים שקשורים ישירות בכוכבת הפופ ליידי גאגא הופצו ב- Dark Net (הרשת האפלה. רשת מחתרתית שמשמשת לפעילות עבריינית ברובה), והביכו את מנהלי הפירמה. במקביל, איימו התוקפים כי ידליפו גם מידע הנוגע לנשיא טראמפ. בפירמת עורכי הדין פנו ל-FBI וביקשו מהם להכריז על האירוע כאירוע טרור וככזה, לאסור על כל קיום מו"מ עם התוקפים.

בינתיים נעצרו הדיווחים על מידע נוסף שדולף באירוע המדובר, כך שניתן להניח שהרשויות הפדרליות אכן נכנסו לתמונה, אבל מי שקצת מכיר אירועים בעולמות הסייבר, יודע שזה ממש לא מעיד על סיומו של האירוע.

במלחמה כמו במלחמה

משום מה, משרדי עורכי דין חושבים שלהם זה לא יקרה. נדמה להם שמתקפת סייבר היא דבר שמאיים רק על חלק מהלקוחות שלהם, בעוד שבפועל, דווקא הם, לעיתים יהיו היעד העיקרי של התוקפים. בעולם אבטחת המידע נהוג להתייחס למהלך שכזה כצד ג' או כשרשרת אספקה, מונח שעלול להישמע שולי וזניח אבל האמת היא שמדובר בציר חשוב ומרכזי מאין כמוהו.

תוקף (האקר) שמחפש מידע מפליל על ארגון כלשהו יודע שהארגון משקיע משאבים רבים כדי להגן על עצמו, אבל משרד עורכי הדין שלו…? אם יש לו איש אבטחת מידע שמדי פעם מעדכן עבורו את תוכנת האנטי-וירוס, זה ממש חריג.

לאחורנה פורסם מחקר מקיף של חברת אבטחת מידע בשם BlueVoyant שניתחה סטטוס בקרב 2,000 משרדי עורכי דין ברחבי העולם. המסקנה שלהם לא פחות ממדהימה – דירוג סיכון הסייבר בתחום המשפטי דומה לזה שמוגדר בגופי הפיננסיים והאנרגיה. מדהים יותר הוא שמדובר בגופים שבשגרה משקיעים הון עתק בהגנת סייבר בהשוואה לשאר הסקטורים במשק ובטח לאלה בעולם המשפטי.

בתחום Cyber Resilience נשאף תמיד להבין ולהכיר את סיכון הסייבר הייחודי לפעילות העסקית, במטרה לטפל בו ולצמצם אותו ככל האפשר. הכלי המרכזי בו נשתמש יהיה נהלים הגיוניים ופשוטים למימוש בשילוב מספר תפיסות הגנה המתאימות לארגון עצמו ללא תלות במה שעושה הפירמה המתחרה או כמה היא משקיעה. כל פירמה והצורך המשתנה שלה, כל פירמה והסיכון שלה, גם אם ישנם מספר סיכונים גנריים.

אחד הדברים המשמעותיים שעולים מאותו המחקר של BlueVoyant הוא "חוסר ההתחשבות" של האקרים. מבחינתם, כל הכלים כשרים וכל המתקפות המוכרות באות לידי ביטוי, גם אם מדובר בתותחים כבדים בשדה קרב לא שוויוני. אין פשרות. מתקפות כופר, השבתה, איומים וסחיטה בהעברת מידע ב-Dark Net ועד להעברת מידע מפליל על לקוחות לידיים של משרד מתחרה. במלחמה כמו במלחמה.

יש בהחלט מה לעשות

אז מה יכולים משרדי עורכי דין לעשות כדי להגן על עצמם וכדי להקטין ולצמצם את החשיפה שלהם לאירועי סייבר? האמת שלא מעט והבשורה הטובה היא שבהחלט יש מה לעשות גם מבלי להפוך למעצמה טכנולוגית. הנה כמה המלצות:

–          גיבוש ועדת היגוי בראשות הנהלת המשרד להכרת והגדרת הסיכון.

–          הגדרת טריגרים ברורים העלולים להוות סכנה מיידית. למשל, שיח שמתפתח ברשתות החברתיות בנושא מסוים, זיהוי ניסיון (או הצלחה) לאיסוף מידע, דגל אדום שמורם לגבי מהלך שבוצע ושחורג מנהלים ועוד.

–          העלאת מודעות בקרב העובדים לאיומים השונים. הדרכות, כולל תרגילים ייעודיים, להגברת הערנות.

–          החלת מדיניות בנושאי העברת מידע (האם מסמך יישלח ללא בחינה לכל גורם מבקש?), בחינת הערוצים שבהם ניתן להעביר את המידע (האם מידע יועבר באמצעות תוכנת מסרים מיידיים כמו וואטסאפ או שמא יש מסמכים שיוחל עליהם נוהל בקרה קפדני יותר ומוצפן?),

–          הקשחת סיסמאות והוספת מנגנוני אישור כפולים (האם תשלומי ספקים מאושרים באמצעות הודעת דוא"ל אחת?).

–          בחינת התקשרויות וחוזים עם ספקי שירות כמו אחסון אתר האינטרנט, שירות הסעדה, ליסינג ועוד, כך שיבטיחו שמירה על זמינות, אחריות למול בעלי העניין?

–          בחינת סטטוס פתרונות הגנה מותאמים לארגון ולצרכיו ויכולותיו. האם לכל עובד הרשאה שוות ערך לטיפול במסמכים? האם ניתן להוציא מהארגון תוכן ולעבוד עליו מבית קפה? ניהול הרשאות הוא דרך קלה יחסית לצמצם חשיפה לדל, מידע.

–          בדיוק כמו שעורך דין לא ימליץ ללקוח שנדרש להגיע לחקירה, להתייצב אליה ללא יעוץ מקדים, כך נדרשות פירמות עורכי דין, הגם שהן בטוחות ומשוכנעות שהן בקיאות ויודעות ואולי אפילו ליוו בעברן חברת סייבר ברמה המשפטית, להתייעץ ולהבין, הלכה למעשה, את כללי המשחק, בהם פועלים תוקפים פוטנציאליים. ועוד לא דיברנו על הסיכון המשפטי עבורן, במקרה של תביעה מצד לקוח בגלל הזנחת שאלות אבטחת המידע והגנת הסייבר.

לסיכום, סיכון סייבר עסקי הוא סיכון משמעותי שעלול לפגוע בצורה הרסנית בכל ארגון, ובפרט בפירמת עורכי דין – גדול או קטן. אם גרובמן-שייר-מייזלס וזאקס הניויורקית נפלה קורבן למתקפה קשה ויקרה כל כך, כאשר אין ספק שיש ברשותה את המשאבים להגן על עצמה, תחשבו מה עלול לקרות אצלכם ותפעלו, עוד היום, כדי להגן על עצמכם ועל הלקוחות שלכם.

*עינת מירון היא יועצת מומחית בתחום Cyber Resilience – הערכות והתמודדות עם אירועי סייבר בהיבטים העסקיים
טוב לדעת
נגישות