Uma investigação do Law.com constata que os escritórios de advocacia são vítimas de violações de dados a um ritmo alarmante, expondo informações confidenciais de clientes e advogados. Esses incidentes - a maioria não publicados até agora - podem ser apenas a ponta do iceberg.

Em fevereiro de 2017, os formulários de impostos para centenas de funcionários atuais e antigos da Jenner & Block caíram em mãos erradas, potencialmente expondo seus endereços particulares, números do Seguro Social e informações sobre salários.

O escritório de advocacia descreveu a violação como um incidente de phishing, dizendo às autoridades de Nova York que arquivos contendo os formulários W-2 dos funcionários foram "transmitidos por engano a um destinatário não autorizado em resposta ao que se acreditava ser uma solicitação legítima da gerência".

No total, a violação pode ter exposto as informações pessoais de 859 pessoas, segundo o relatório de Jenner às autoridades estaduais.

Essa violação, anteriormente não relatada na mídia, foi apenas uma das dezenas de incidentes de segurança cibernética que escritórios de advocacia - de grandes escritórios de advocacia a escritórios individuais - relataram às autoridades estaduais nos últimos cinco anos, segundo registros públicos, entrevistas com empresas afetadas. e especialistas em segurança cibernética.

Embora a violação de Jenner tenha afetado ostensivamente apenas seus advogados e funcionários, muitas outras violações de escritórios de advocacia podem ter vazado informações confidenciais de clientes, mostram relatórios de autoridades do estado. Com base em extensas solicitações de registros públicos, o Law.com identificou mais de 100 escritórios de advocacia que relataram violações de dados às autoridades em 14 estados desde 2014, notificando as autoridades de que uma violação de dados que afeta a empresa poderia expor as informações pessoais dos indivíduos.

Além de Jenner, a empresa Proskauer Rose, da Am Law 100, também foi afetada. Também foram vítimas de violações de dados relatadas: Harris Beach, McGlinchey Stafford e outras empresas de médio porte; butiques de destaque como a Sanford Heisler Sharp; bem como profissionais individuais, organizações sem fins lucrativos e escritórios de advocacia do governo. Várias faculdades de direito também relataram violações (assim como a ALM, empresa controladora da Law.com).

As diferenças nos requisitos de relatórios entre os estados dificultam o discernimento de tendências definitivas, mas os ataques de phishing e outras violações externas, como hackers e vazamentos de fornecedores, representam a maior parte das violações de dados identificadas na investigação do Law.com.

Clique na imagem para ver quais escritórios de advocacia relataram violações.

Apesar de várias violações de alto nível que alertam as empresas sobre riscos cibernéticos nos últimos anos, há indicações de que as violações de escritórios de advocacia estão ocorrendo com mais frequência, e não menos.

Por exemplo, no estado de Nova York, o número de violações de dados exclusivos de escritórios de advocacia dobrou para oito em 2018 em relação a quatro no ano anterior, afetando quase 1.500 pessoas, de acordo com relatórios apresentados pelas empresas.

Alguns advogados e consultores de segurança cibernética disseram que os relatórios provavelmente representam uma pequena fração das violações que afetam o setor jurídico. Os escritórios de advocacia, como outras empresas de capital fechado, não costumam divulgar quando seus dados são violados, e muitos podem não denunciá-los às autoridades estaduais, dependendo da lei.

Austin Berglas, ex-chefe da divisão cibernética do FBI em Nova York e agora chefe global de serviços profissionais da empresa de segurança cibernética BlueVoyant, disse que os escritórios de advocacia são um dos principais alvos dos hackers por causa das informações de clientes que possuem.

"Eles são um balcão único", disse Berglas. E como o sucesso do escritório de advocacia geralmente está vinculado à sua reputação de preservar o privilégio de advogado-cliente, eles podem estar mais dispostos a pagar a hackers se forem vítimas de ransomware, acrescentou.

“Os escritórios de advocacia só farão esses relatórios [de violação de dados] quando confirmarem, através de uma investigação forense, que as informações relatadas foram tocadas. Eles não vão relatar todos os eventos, todas as campanhas de caça submarina - eles veem todos os dias ”, disse Berglas.

></iframe><h2>Violando os especialistas

No geral, as divulgações de escritórios de advocacia e advogados representaram apenas uma pequena fração das centenas de notificações de violação de dados revisadas pelo Law.com. Empresas que vão de contadores e restaurantes a empresas de serviços financeiros a hotéis Trump notificaram os reguladores estaduais de que podem ter sido vítimas.

Mas as evidências de violações generalizadas do setor jurídico são impressionantes, porque os advogados têm o dever de proteger informações privilegiadas dos clientes. E muitos escritórios de advocacia, especialmente os escritórios de advocacia Am 200, se anunciam como especialistas em segurança cibernética que aconselham os clientes sobre como prevenir e limitar violações de dados.

Algumas empresas que se autodenominam como cibersegurança foram as próprias vítimas. Jenner, por exemplo, mantém uma prática de privacidade de dados e cibersegurança para "serviços de aconselhamento e litígio para garantir a privacidade e a integridade de suas informações confidenciais". Em 2017, no mesmo ano, Jenner relatou seu próprio incidente de phishing, o escritório de advocacia informou as autoridades estaduais sobre: várias violações de dados em nome de empresas como Revlon Consumer Products, McKinsey & Co. e Scientific Games Corp.

Em uma declaração ao Law.com sobre a violação de dados, Jenner disse que a empresa "cumpriu todos os requisitos legais e de relatórios e prestou assistência a todos os funcionários afetados". A empresa acrescentou que "leva a segurança dos dados muito a sério e mantém um rigor e abordagem sistemática à segurança da informação, que inclui salvaguardas técnicas, administrativas e físicas projetadas para proteger o cliente e outras informações. ”A empresa acrescentou que opera um“ sistema formal de gerenciamento de segurança da informação, documentado e auditado externamente, projetado para proteger os dados da empresa e do cliente ”.

Austin Berglas, ex-chefe da divisão cibernética do FBI em Nova York, chamou os escritórios de advocacia de “um balcão único” para hackers. (Foto de cortesia)

Proskauer Rose também foi conselheira e vítima. A empresa de Nova York, que se autodenomina um “líder reconhecido em leis de privacidade e segurança cibernética”, enviou relatórios de violação de dados em nome da Bed Bath & Beyond; Iniciativa de Acesso à Saúde de Clinton; Centro Internacional de Qualidade e Produtividade; GAM Fund Management Limited; e Harry Winston, de acordo com documentos obtidos por Law.com.

Em 2016, a Proskauer divulgou sua própria violação de dados às autoridades estaduais, depois de "receber vários relatórios de funcionários da empresa de que declarações de impostos foram arquivadas em seus nomes por indivíduos não autorizados em atos de roubo de identidade".

O escritório de advocacia informou às autoridades e funcionários afetados que um funcionário de seu departamento de folha de pagamento recebeu um e-mail fraudulento, parecendo ser de um dos executivos seniores do escritório, solicitando cópias de W-2s do pessoal da empresa.

“Acreditando que a solicitação por e-mail era legítima”, a empresa disse às autoridades do estado, “o funcionário da folha de pagamento enviou as informações solicitadas por e-mail. O endereço de resposta ao email era fraudulento e as informações foram transmitidas a terceiros não autorizados. ”

Ao todo, mais de 1.500 pessoas foram afetadas, disse Proskauer em sua divulgação em Nova York, incluindo 700 residentes do estado. Além de ajudar os funcionários afetados, a Proskauer informou que estava tomando medidas para "impedir que algo assim acontecesse novamente", incluindo a melhoria dos controles de treinamento e gerenciamento da equipe e a restrição de tipos de dados transmitidos eletronicamente.

Um representante da Proskauer se recusou a comentar o site Law.com.

Relatórios Discretos

Todos os estados exigem que as empresas relatem incidentes de segurança cibernética a indivíduos afetados pela violação, mas alguns estados têm requisitos mínimos ou inexistentes para se reportar às autoridades estaduais. Nos estados mais regulamentados, os escritórios de advocacia, como outras empresas, devem contar com o auto-relato.

"Os escritórios de advocacia são bastante discretos sobre como reportam" violações de dados, disse Claudia Rast, líder do grupo de segurança cibernética de Butzel Long e membro da força-tarefa legal de segurança cibernética da American Bar Association. “Infelizmente, muitos escritórios de advocacia não denunciam. Eles não querem que seus clientes saibam disso. ”

Para complicar, alguns dos dados mais confidenciais de clientes que os escritórios de advocacia possuem podem estar relacionados a fusões e outras transações. Mas uma violação envolvendo detalhes de um acordo de fusões e aquisições, se incluísse dados corporativos, mas não expusesse as informações pessoais de um indivíduo, não precisa necessariamente ser relatada às autoridades estaduais, de acordo com Rast e outros.

Claudia Rast, que lidera o grupo de segurança cibernética de Butzel Long, disse que muitos escritórios de advocacia não relatam violações a funcionários por medo de alarmar os clientes. (Foto de cortesia)

Essas informações confidenciais do negócio estavam no centro da acusação do advogado de Manhattan, em 2016, de três cidadãos chineses acusados ​​de invadir dois grandes escritórios de advocacia dos Estados Unidos em um esquema para negociar informações sobre fusões e aquisições iminentes. Com base nos detalhes da acusação, as duas firmas pareciam ser Weil, Gotshal & Manges e Cravath, Swaine & Moore, firmas com violações cibernéticas que foram relatadas anteriormente na imprensa. (Dois réus nunca foram presos e permanecem soltos, enquanto autoridades estrangeiras negaram a extradição do terceiro, disse uma porta-voz do Ministério Público dos EUA.)

Em outro incidente de alto nível, o DLA Piper foi atingido por um grande ataque cibernético no verão de 2017, derrubando telefones e computadores em toda a empresa, aparentemente desencadeado por um ataque de ransomware. Um porta-voz da empresa disse que "nenhum dado do cliente foi coletado".

Ainda assim, um número crescente de relatórios de violações arquivados por escritórios de advocacia nos últimos cinco anos pode mostrar tanto a crescente frequência de violações de dados do setor jurídico quanto uma crescente conscientização e conformidade por parte dos escritórios de advocacia, disseram advogados em práticas de privacidade de dados.

"Há mais violações de dados [em todos os setores], mas o mais importante é que as pessoas estão se tornando mais sofisticadas em monitoramento" para elas, disse Avi Gesser, sócio da Davis Polk & Wardwell em sua prática de segurança cibernética. “Eles os estão detectando mais e estão mais conscientes de suas obrigações de notificação à medida que o mercado se torna mais tolerante. As pessoas ficam mais confortáveis ​​com os relatórios. Eles sentem que estão sendo bons cidadãos corporativos. ”

"Se você não liga para ninguém ou conta para ninguém", ele disse, "é difícil desempenhar o papel de vítima".

Violações de phishing

Jenner e Proskauer estavam longe de ser as únicas empresas a denunciar ataques de phishing nos registros estaduais revisados ​​pelo Law.com. De fato, especialistas em segurança de dados disseram que os esquemas de phishing são a ameaça mais comum aos escritórios de advocacia no momento.

No que descreveu como um “crime contra a nossa empresa”, o advogado de 217 Harris Beach, com sede em Rochester, Nova York, relatou que um “indivíduo não autorizado” acessou o e-mail de um advogado da empresa no ano passado, levando a empresa a contratar um especialista em computação forense .

“O especialista aconselha que o método usado para acessar a conta de e-mail baixe automaticamente todo o conteúdo da caixa de correio no computador pessoal do hacker, o que torna possível que o hacker ainda possua o conteúdo dessa caixa de correio e possa usá-lo em o futuro ”, escreveu o escritório de advocacia às autoridades estaduais.

As informações de até 74 pessoas, incluindo nome e número do Seguro Social, poderiam ter sido afetadas, de acordo com a carta da empresa.

O porta-voz de Harris Beach, Ben Rand, reconheceu o ataque de phishing em um comunicado. "Nossas equipes de conformidade, gerenciamento de riscos e TI ativaram nosso plano de resposta e tomaram medidas para conter, mitigar e resolver o incidente", disse Rand, acrescentando que a empresa informou as autoridades policiais. "A Harris Beach está comprometida em proteger a confidencialidade, a integridade e a disponibilidade das informações dos clientes", disse ele, e adotou um programa "robusto" de segurança cibernética.

A boutique de empregos proeminente Sanford Heisler Sharp informou a vários estados que uma “parte não autorizada obteve acesso a uma conta de email” pertencente a um parceiro da empresa, liderando uma “investigação forense em um incidente de phishing”. A violação de dados afetou até 413 pessoas, empresa disse às autoridades da Carolina do Norte. Uma porta-voz da Sanford Heisler se recusou a comentar.

No caso da McGlinchey Stafford, uma firma de 170 advogados com sede em Nova Orleans, a empresa informou às autoridades do estado de Nova York há cerca de um ano que as informações na conta de e-mail de um funcionário podem ter sido acessadas por “terceiros não autorizados como resultado de um ataque de phishing ", possivelmente afetando 468 pessoas.

Em comunicado ao Law.com, McGlinchey disse que descobriu a violação depois de saber que os funcionários da empresa haviam recebido "emails de spam". A empresa disse que "apelou à experiência de consultores externos cujo trabalho era essencial para minimizar o impacto do incidente". e disse que não havia indicação de que as informações foram acessadas ou usadas pela parte não autorizada.

"A empresa sempre manteve os mais altos padrões de segurança digital, em parte, porque é exigida pelo setor de serviços financeiros que atendemos", disse McGlinchey. "Os sistemas que implantamos minimizaram bastante o impacto potencial desse incidente".

Em resposta ao incidente, a empresa disse que revisou e revisou suas políticas, redefiniu as credenciais de acesso dos funcionários, implantou um “filtro de spam mais agressivo para todos os e-mails dos funcionários e implementou ainda o uso de protocolos de segurança avançados, incluindo o uso generalizado de autenticação de fator ".

"Esse incidente confirmou para nós que cada grama de recurso que dedicamos a reforçar nossas defesas e a treinar nossa equipe e advogados profissionais é bem gasta", acrescentou a empresa.

Embora os incidentes de phishing demonstrem que os escritórios de advocacia podem preparar e treinar advogados para evitar vazamentos de dados, as divulgações de outros escritórios de advocacia obtidas pelo Law.com mostram que alguns incidentes de segurança podem estar totalmente fora de controle.

Alguns escritórios de advocacia relataram violações de dados devido ao lapso de segurança de um fornecedor, enquanto outros relataram roubos de discos rígidos e laptops, levantando a questão de saber se as violações de dados são um custo para se fazer negócios, mesmo em um setor que guarda suas informações de perto.

"Mais da metade das empresas enfrenta incidentes de segurança de dados", disse Rast, advogado de segurança cibernética da Butzel Long. "Os escritórios de advocacia não são diferentes da maioria das empresas por aí."

Este artigo é o primeiro de uma série do Law.com focada em violações de dados de escritórios de advocacia. A seguir: como o relacionamento com os fornecedores das empresas pode criar vulnerabilidades.