Um funcionário apaixonado por um e-mail de phishing pode comprometer todo o banco de dados de uma empresa. As informações do seu cliente serão protegidas se isso acontecer?

Imagine isto: você é um hacker em busca de dados confidenciais para uso por meios nefastos. Seja informações financeiras ou divulgações confidenciais, você planeja um assalto digital para as idades. Agora, a pergunta é: qual é a sua marca mais fácil?

Se você respondeu a um escritório de advocacia, estaria certo.

Para os criminosos cibernéticos, os escritórios de advocacia são um objetivo dos sonhos: eles oferecem um tesouro das informações mais sensíveis, ao mesmo tempo em que implementam políticas e tecnologias precárias para segurança cibernética e TI. Não é de admirar, então, que escritórios de advocacia estejam cada vez mais sob ataque de hackers.

Os escritórios de advocacia geralmente estão envolvidos em transações íntimas para seus clientes e lidam com dados muito confidenciais que vão além das informações de identificação pessoal (PII) tradicionais, incluindo documentos comerciais e financeiros altamente confidenciais. Apesar disso, as empresas geralmente não têm conhecimento profundo dos problemas de segurança cibernética e ignoram as várias vulnerabilidades. Geralmente, é necessária apenas uma conta de funcionário para comprometer todo o sistema.

A chave da segurança cibernética para essas empresas, além da tecnologia, é implementar políticas abrangentes para os funcionários, especialmente em áreas que envolvem dados confidenciais. Avaliações regulares de risco também ajudarão bastante a estabelecer as bases para manter os hackers afastados.

A senha é o link mais fraco

O uso de senhas continua sendo o calcanhar de Aquiles da cibersegurança. Não apenas as tabelas de pesquisa de senhas quebradas estão se transformando em bilhões de pontos de dados, mas o acesso a elas se tornou barato e fácil para qualquer hacker disposto a pagar uma taxa por isso. Esse novo fenômeno tornou-se possível à medida que grupos de hackers perceberam que é rentável "alugar" seus ativos a terceiros, criando um sub-setor na dark web.

O elemento humano que mais agrava o problema, em que mais dependemos da reutilização de senhas em serviços online, contas de trabalho e até contas de mídia social. O mais popular modus operandum usado pelos hackers seria obter senhas de um serviço on-line "gratuito" menos seguro e usá-las para acessar documentos altamente confidenciais, como os que os advogados e advogados estão familiarizados.

A ameaça é universal, conseqüências graves

Uma atitude complacente em relação à segurança tem sérias ramificações - danos maciços à reputação da empresa, possíveis multas de agências governamentais, investigações de mídia de dados vazadas e até ações judiciais de clientes.

Uma investigação recente do law.com descobriu que mais de 100 escritórios de advocacia relataram violações de dados que comprometiam dados altamente sensíveis e confidenciais. Isso pode ser apenas a ponta do iceberg, já que muitas violações podem ser detectadas ou não relatadas.

Uma dessas violações marcantes foi a exposição em 2015 de 11,5 milhões de documentos pertencentes ao escritório de advocacia panamenho Mossack Fonseca. Esse vazamento explosivo levou à divulgação de alguns dos esconderijos mais ricos do mundo, causando pelo menos 150 inquéritos ou investigações em 79 países. Dois anos depois, o escritório de advocacia foi fechado devido aos danos econômicos e de reputação que sofreu.

Embora a mídia tenha relatado ansiosamente os dados escandalosos obtidos com o vazamento, há poucas informações sobre como a violação realmente aconteceu. Com o tempo, os especialistas em segurança concluíram que a falta de práticas básicas de segurança na Web por parte da Mossack Fonseca e de seus administradores da Web - incluindo o software desatualizado de gerenciamento de conteúdo WordPress e Drupal - os tornava presas fáceis para hackers.

Mossak Fonseca não é o único exemplo de um escritório de advocacia que sofre de uma grande violação de segurança. De acordo com especialistas de terceiros, mais de 80% das 100 maiores empresas americanas foram invadidas desde 2011 e a maioria delas aumentou significativamente seus gastos com TI.

Entre os escritórios de advocacia menores, há um senso de segurança fora de lugar, pois eles pensam que são pequenos demais ou remotos para serem atacados. No entanto, as tendências revelaram que os hackers são indiscriminados; todo mundo está em risco.

Inteligência artificial piora o problema

O uso da inteligência artificial já leva a eficácia e a escala dos ataques de phishing a um novo nível. Agora, os algoritmos podem ser usados ​​para "coletar" senhas em grande escala devido ao alto grau de personalização que torna muito mais difícil distinguir os e-mails de phishing dos legítimos.

Em um futuro próximo, a IA também é o potencial para ajudar hackers a roubar dados confidenciais em grande escala por meio de engenharia social algorítmica. Não é inconcebível que esse tipo de tecnologia se combine com os dados obtidos por meio da engenharia social para enviar um email credível e altamente personalizado a um advogado, convencendo-o de que o email é proveniente do cliente e levando-o a revelar informações confidenciais do cliente ao hacker.

Como proteger sua empresa contra ataques cibernéticos

Existem alguns passos importantes que os escritórios de advocacia precisam tomar para garantir que permaneçam preparados para possíveis violações.

Primeiro, eles precisam reservar um orçamento e pessoal dedicado à segurança cibernética. Eles precisam estabelecer uma governança sólida de dados e uma política de segurança cibernética, enquanto designam um membro executivo para impulsionar isso e manter sistemas e procedimentos atualizados perpetuamente.

As empresas devem proteger completamente o acesso dos funcionários aos sistemas; isso inclui trabalhadores contratados e remotos. A autenticação multifatorial ou biométrica é obrigatória, pois todos os pontos de entrada do usuário devem ser protegidos com segurança.

Armazenar todos os dados em um formato de criptografia é crucial. As empresas também precisam verificar todos os fornecedores e parceiros de terceiros por suas práticas de segurança de dados.

Finalmente, os escritórios de advocacia precisam criar processos para treinamento, monitoramento de conformidade e detecção e resposta ativas. Eles devem desenvolver um plano de resposta a incidentes, bem como contratar especialistas de terceiros para avaliar riscos e realizar auditorias regularmente.

Existem muitos recursos que descrevem as medidas de segurança recomendadas. Os escritórios de advocacia precisam considerar a adoção de todas ou parte das diretrizes das normas de segurança, como a Organização Internacional de Padronização (ISO), o Instituto Nacional de Padrões e Tecnologia (NIST) e o Centro de Segurança na Internet (CIS).

Uma apólice de seguro cibernético também pode fornecer cobertura em caso de violação. Mesmo com todas as medidas razoáveis ​​em vigor, um hacker determinado ainda pode encontrar uma porta dos fundos no sistema. Os escritórios de advocacia geralmente têm a complexidade adicional de garantir a segurança do cliente, além de sua própria proteção cibernética.

Não há provas futuras

A cibersegurança é um jogo permanente de manter-se atualizado com a tecnologia que os criminosos estão usando em suas tentativas de obter dados confidenciais. À medida que os hackers ficam mais sofisticados em suas ferramentas e técnicas, os escritórios de advocacia precisam considerar o uso de tecnologia avançada - como IA e modelos de previsão - também.

As empresas precisam permanecer proativas para evitar violações e se tornarem o mais cibernético possível. Você pode pensar: “Ninguém com quem trabalho se apaixonaria pelos e-mails de phishing de um hacker”, mas você ficaria surpreso. Os hackers estão constantemente otimizando seus truques digitais, tornando cada vez mais difícil detectar uma ameaça usando apenas julgamento humano.