在网络犯罪的世界里,从个人到国家,每个人都是目标——当然,有些人比其他人更有吸引力。卫生保健组织上了最近的头条,而物联网(物联网)提供了几乎无限的攻击面。
但是律师事务所也很有吸引力。他们持有敏感、机密的数据,从个人(离婚、人身伤害)到专业(合同谈判、商业秘密、并购、财务数据等等),一旦泄露,将会给公司和客户带来灾难性的损失。
《华尔街日报》报道2015年,黑客入侵了美国最负盛名的两家公司——Cravath Swaine & Moore和Weil Gotshal & Manges的网络。《华尔街日报》称,这两家公司“代表着华尔街的银行和财富500强公司,从诉讼到数十亿美元的并购谈判,无所不包。”
美国联邦调查局(FBI)和曼哈顿联邦检察官办公室正在调查此次黑客攻击是否旨在获取内幕交易所需的信息。
伯克利研究集团(Berkeley Research Group)网络安全/调查业务的董事总经理兼全球负责人汤姆•布朗(Tom Brown)表示,律师事务所越来越多地成为攻击目标,“可能是因为黑客希望获得最大的回报。”如果成功,他们可以通过一次攻击获得多个客户的信息。”
汤姆布朗他是伯克利研究集团网络安全/调查业务的董事总经理和全球领导者
但是,虽然像纽约这样备受瞩目的案件会成为全国新闻,但许多其他案件却没有。或者,即使他们这样做了,公司也不总是被识别出来。的网络安全法律评论(CSLR)最近报道称,弗吉尼亚州北部的四家公司受到了打击ransomware去年年底的袭击。但没有一家公司被点名。
而且也很少有公司愿意公开谈论这个问题。超过六名律师没有回应CSO关于讨论律师事务所违规行为的请求。据一家公司的公关代表说,这是由于“话题的敏感性”。
不管敏感与否,这都是一个明显且日益严重的问题。正如《华尔街日报》所言,黑客工具和雇佣黑客的增加使得“犯罪分子更容易侵入计算机网络,从而进一步开展从内幕交易到身份盗窃等一系列犯罪活动。”
法律报告集团的执行编辑丽贝卡·休斯·帕克说2015年ABA法律技术调查报告调查发现,在拥有100名以上律师的公司中,23%的受访者报告了安全漏洞,并指出最近报道称俄罗斯黑客袭击了48家顶级律师事务所查阅有关合并及收购的资料。
丽贝卡·休斯帕克他是《法律报告》的总编辑
为大型律师事务所提供咨询服务的Zeughauser集团(Zeughauser Group)董事长彼得•佐豪泽(Peter Zeughauser)表示,无论是联邦调查局(FBI)发出的警报、客户表达的担忧,还是黑客袭击的新闻,对网络攻击“存在更高层次的担忧”。
帕克表示,在勒索软件的情况下,即使目标只是收集资金,而不是使用机密数据,通常也会让客户感到非常不安。
她说:“这可能会耗费公司大量资金,也可能会损害公司的声誉。”
对于这一切,最明显的回应就是加强网络防御。虽然没有一种技术是完全防弹的,但专家多年来一直表示,更好的“安全卫生”可以让组织摆脱“容易摘到的果实”的类别。
彼得Zeughauser泽豪斯集团董事长
正如布朗所言,“由于每家律师事务所都有自己的风险概况,所以没有‘答辩机’,”但仍有一些通用原则可以降低任何一家律师事务所的风险风险预测.以下是来自Brown, Parker, Zeughauser的推荐,以及CSLR与Sensei Enterprises副总裁兼联合创始人John Simek的问答。
1.更多/更好的员工培训
已经说过很多次了,人是安全链中最薄弱的一环。而这一弱点正被越来越精通网络钓鱼邮件的犯罪分子更有效地利用。
“人是问题所在,”Simek告诉CSLR。“世界上所有的技术都不能阻止攻击。”
律师事务所尤其容易受到攻击,因为法庭文件是公开记录。攻击者可以很容易地获得记录律师的姓名,并使用他或她的姓名发送带有恶意附件的钓鱼电子邮件,声称是来自该律师的最新投诉。
是的,培训消耗的时间本可以计费,但应对勒索软件或重大漏洞的成本要高得多。
2.保持备份与网络和Internet断开连接
随着勒索软件的爆炸性增长,备份应该是强制性的。但是,如果备份驱动器连接到网络,它们将毫无用处,因为这也会让恶意软件感染它们。
3.安装所有补丁和更新
补丁的作用正如它的名字所暗示的那样——修补软件中容易受到攻击的“漏洞”。事实上,所有这些都是免费的,所以它们唯一要花费的就是注意力和时间——时间花得很好。不给已知的漏洞打补丁有点像晚上不锁门,文件不上锁。
美国律师协会
4.更新软件-特别是当它不再被支持的时候
这需要花钱,这是许多公司不这么做的主要原因。这种想法类似于保留一辆旧车——它运行得很好,所以没有理由花钱买一辆新车。
但这只在软件得到支持的情况下才有意义。在那之后,这就有点像当你不能再得到维修或零件时,继续驾驶一辆旧车。如果水泵坏了,你就会遇到比之前升级更昂贵的问题。
当一个系统不再被支持时,就意味着它不再被打补丁。这是“不开门综合症”的另一个版本。
5.阻止可执行文件,压缩档案和身份不明的用户
虽然人为失误总是会破坏技术,但这并不意味着技术不能提供某种保护措施。如果“。exe”或zip文件在到达用户收件箱之前被屏蔽,员工就无法点击他们从未看到的内容。
该网络还应编程阻止任何身份不明的用户修改文件。
6.如果您使用云存储,请确保您的公司控制加密密钥
Simek说,一些云服务提供商不允许用户定义加密密钥,“因为他们担心,如果用户忘记了加密密钥,他们的备份将毫无用处。”尽管这当然是一种可能性,但如果一家公司计划使用云备份,它将需要一个允许它控制的提供商,”他说。
7.让你的网络安全计划满足潜在客户的需求
帕克说,越来越多的客户使用安全顾问,“给他们一个模板,他们可以根据自己拥有的数据类型和考虑聘用的公司规模来定制自己的需求。”
Zeughauser说,律师事务所的高管们说,“让他们夜不能寐”的一件事是客户对安全的需求不断增加。“他们的客户告诉他们,如果你不做这些事情,你不会通过我们的审计,我们不会雇用你,”他说,补充说,技术有望成为第二大律师事务所年度费用,超过只有通过员工的成本。
“在60到70年的时间里,租金一直是第二大支出,”他说。
有一些标准可以证明一个公司的网络安全,包括ISO 27001但帕克说,只有少数公司采用了这种方式。这在很大程度上可能是因为它既昂贵又耗时。
但是,国家标准与技术研究所Simek说,NIST的小型企业标准可以达到自我认证。它允许公司“评估他们的基础设施,以及他们是否有任何弱点,以及是否需要第三方的帮助。”
8.对远程访问和移动设备有明确、有效的限制吗
帕克说,这可能会很复杂,因为“同一家公司的不同业务领域有时可能会作为独立业务运作,很难降低网络风险。”合作伙伴还可能选择退出某些网络安全协议。”
在这个领域,拥有一位CIO或其他高管来监督和实施数据安全、隐私和信息治理(包括远程访问和BYOD)至关重要。
9.设置系统捕获日志数据,以便在发生违规时进行取证
Simek说,应对入侵的最大问题是缺乏日志数据。“没有人有远见地配置他们的设备或系统来持续捕获信息。这是调查的杀手。
10.分享威胁信息
据《华尔街日报》报道,律师事务所去年成立了一个信息共享组织,交换有关网络威胁和其他漏洞的信息。它是模仿金融机构的一个类似组织。
金融服务信息共享和分析中心(Financial Services Information Sharing and Analysis Center)首席执行长纳尔逊(Bill Nelson)说,到目前为止,已有75家公司加入了这个组织。
这篇题为“律师事务所让黑客头疼的10种方法”的文章最初发表于方案 .