Według raportu „LegalTech 2023”, ogłoszonego na konferencji pod patronatem „Rzeczpospolitej”, z próbami cyberataku spotkało się 33 proc. badanych. To najwyższy odsetek od czterech lat. Niektóry przestępcy specjalizują się w atakach na firmy prawnicze.
Najczęściej (57 proc.) był to tzw. phishing (czyli podszywanie się przez przestępców pod inną osobę bądź instytucje w celu wyłudzenia danych, haseł dostępu czy pieniędzy). Na drugim miejscu znalazło się rozsyłanie złośliwego systemu (malware) oraz ataki DDOS (atak z setek tysięcy komputerów przejętych zdalnie, w wyniku którego pada serwer np. strony kancelarii).
Podatni na zagrożenie
– Kancelarie prawne powinny zwrócić szczególną uwagę na cyberzagrożenia – mówi adw. Przemysław Barchan, dyrektor Instytutu LegalTech przy Naczelnej Radzie Adwokackiej. – Mogą bowiem być bardziej niż ich klienci podatne na potencjalne ataki cyberprzestępców, stając się najsłabszym ogniwem systemu bezpieczeństwa informacji klienta.
Dotyczy to szczególnie kancelarii obsługujących podmioty z sektorów regulowanych: firmy te mają liczne obowiązki w zakresie cyberbezpieczeństwa. A kancelarie, poza ogólnym obowiązkiem zachowania tajemnicy zawodowej, nie muszą spełniać żadnych wymagań w zakresie cyberbezpieczeństwa, jak np. podmioty z rynku finansowego. W wielu jednak przypadkach sytuacja może się odwrócić i to kancelaria będzie lepiej zabezpieczona niż klient.
– Najbardziej podatne na ataki są najmniejsze kancelarie, jako iż są najsłabiej chronione – mimo iż rzadziej padają ofiarą takich ataków – mówi radca prawny Artur Piechocki. – Wynika to przypuszczalnie z mniejszej atrakcyjności dla cyberprzestępców zasobów posiadanych przez mniejsze kancelarie – dodaje.
Potwierdzają to dane z raportu. Wśród kancelarii zatrudniających cztery i więcej osób, obiektem ataku była ponad połowa (53 proc.), podczas gdy w przypadku jednoosobowych działalności prawniczych odsetek ten wynosi 24 proc. Jednocześnie aż 63 proc. z tych kancelarii korzysta z obsługi informatycznej tylko doraźnie (m.in. w przypadku cyberataku). Ogólnie odsetek ten wynosi 38 proc. Z kolei większe firmy prawnicze, co zrozumiałe, częściej korzystają z własnych zasobów kadrowych w tej kwestii (36 proc.).
Warto zgłaszać sprawę
Wspomniany phishing kolportowany bywa przez pocztę e-mail czy SMS-y. Może wyglądać np. jak wiadomość od potencjalnego czy choćby znanego klienta. Nowym trendem jest rozsyłanie takich linków przez social media (np. Facebook czy LinkedIn.)
– Sam padłem ofiarą próby takiego ataku – przyznaje mecenas Barchan. – Po kilku dniach od zagranicznej konferencji dostałem wiadomość od rzekomego jej uczestnika z prośbą o spotkanie w celu omówienia potencjalnej współpracy. Nadawca przesłał mi podejrzanie wyglądający link do aplikacji rezerwacji terminu spotkania. Na moją prośbę o zmianę formy komunikacji zaprzestał dalszego kontaktu. Dlatego zalecam wszystkim zwracanie szczególnej uwagi na otrzymywane linki, tym bardziej jeżeli pochodzą od nieznanych nam nadawców – podkreśla.
Uzyskanie dostępu do systemu kancelarii to dopiero wstęp do adekwatnego ataku. Może on przybierać różne formy – najpopularniejszym jest ransomware – czyli oprogramowanie szyfrujące dostęp do danych – zostanie on przywrócony, jeżeli ofiara zapłaci. Coraz częściej jednak przestępcy kopiują także dane ofiary w celu wyłudzenia okupu za powstrzymanie się przed ich upublicznieniem.
Artur Piechocki wskazuje iż o ile już padło się ofiarą ataku, należy rozważyć sposób komunikacji – z klientem, jak i pracownikami. Lepiej poinformować klientów o ataku i podjętych środkach przeciwdziałania – bo zatajanie takich wiadomości może przynieść większe szkody niż sam atak.
– Klient może po swojej stronie podjąć środki zaradcze. Podstawą jest też zgłoszenie ataku organom ścigania – tłumaczy ekspert.
Niestety, wielu prawników tego nie robi, czy to z obawy o wizerunek kancelarii czy z przekonania, iż sprawcy i tak pozostaną nieuchwytni. A to nieprawda – często da się namierzyć i ukarać przestępców.
Jakub Groszkowski zastępca prezesa Urzędu Ochrony Danych Osobowych
W ubiegłym roku do Urzędu Ochrony Danych Osobowych wpłynęło prawie 13 tys. zgłoszeń naruszeń ochrony danych osobowych. To prawie o 80 proc. więcej niż np. dwa lata wcześniej. Urząd nie prowadzi jednak dokładnych statystyk zgłaszanych naruszeń z podziałem na ich rodzaje czy metody cyberataku.
UODO odnotowuje, iż przyspieszenie cyfryzacji, której głównym czynnikiem była pandemia koronawirusa, sprzyja aktywności cyberprzestępców. Mając na uwadze, jak ważne jest przetwarzanie danych osobowych, także przez samorządy prawnicze, oraz wyzwania, z jakimi w tym kontekście samorządy się mierzą, Urząd Ochrony Danych Osobowych podpisał 5 kwietnia porozumienie o współpracy z Krajową Izbą Radców Prawnych. Strony zobowiązały się do uczestniczenia w projektach związanych z ochroną danych osobowych (m.in. działalność edukacyjna, promocyjna, wydawnicza, organizacyjna np. w postaci przeprowadzania kongresów, seminariów, kursów i szkoleń).