Nell’universo della sicurezza informatica, la relazione tra studi legali e data breach è molto stretta. Il più recente Cost of a Data Breach Report di IBM ha evidenziato un costo medio di 4.65 milioni di dollari nel settore dei Servizi, a fronte di una media assoluta di 4.35 milioni. Ciò dimostra la grande attenzione che i cyber criminali riservano a questa industry, nella quale gli studi legali occupano una posizione di primissimo piano.
Perché il cyber crime dovrebbe essere così attento al mondo legale? Studi legali e data breach viaggiano a braccetto per almeno 5 motivi:
Le cronache sono ricche di storie di studi legali e data breach. Su tutte, si ricorda quella dello studio Grubman Shire Meiselas & Sacks, noto per rappresentare artisti del calibro di Madonna, Bruce Springsteen e Lady Gaga. Il caso portò alla sottrazione di 756 GB di dati e a una richiesta di riscatto di 21 milioni di dollari, poi raddoppiata a 42 milioni. Interessante caso di studio è stato anche l’attacco ransomware che ha colpito, in tempi più recenti, lo studio Campbell Conroy & O'Neil, noto per assistere diverse aziende Fortune 500.
Quasi superfluo sottolineare quanto gli studi legali, al pari delle imprese, non possano permettersi un data breach: le violazioni contrattuali, legali (si pensi al GDPR) e i danni d’immagine potrebbero abbattere la reputazione del brand, con tutte le conseguenze facilmente ipotizzabili.
Quali sono, oggi, i principali rischi e le minacce cui sono esposte le law firm? Nonostante le peculiarità evidenziate più in alto, sotto questo profilo non ci sono particolari differenze rispetto alla maggior parte delle aziende. Sotto il profilo cyber, le principali fonti di rischio sono:
Le tecniche di phishing diventano col tempo sempre più sofisticate. Si tratta inoltre di una minaccia relativamente poco costosa per i malintenzionati e dall’ottimo potenziale.
In ambito business, il phishing è spesso potenziato dal social engineering e assume le sembianze del BEC, business e-mail compromise. I malintenzionati, una volta ottenuto l’accesso alle caselle e-mail di un’azienda (cliente dello studio), si fingono alti dirigenti e chiedono allo studio di eseguire certe azioni, come la condivisione di documenti riservati. Come anticipato, tutto ciò si accompagna spesso a tecniche raffinate di social engineering, come l’inserimento di dettagli personali e privati nel testo delle e-mail, così da rendere il tutto estremamente credibile.
Un'altra minaccia molto comune e parimenti concreta. Si basa sullo sfruttamento – da parte di attori malevoli – di vulnerabilità dei sistemi informativi o, più comunemente, su attacchi di phishing, link e file infetti. Da notare che, una volta compromesso un endpoint (PC, smartphone…) il ransomware può propagarsi all’interno della rete.
Come le aziende, anche gli studi legali fanno parte di un fitto ecosistema di attori, con i quali lo scambio di dati, di documenti e la condivisione di sistemi è quotidiana. Gli attacchi supply chain puntano a destabilizzare lo studio (o l’azienda) colpendo una terza parte che – a diverso titolo – custodisce dati sensibili dello studio stesso. È dunque fondamentale assicurarsi, mediante appositi assessment, della security posture messa in campo da tutti gli attori con cui si hanno rapporti di business.
Sembra un’area di intervento, ma in realtà è una minaccia vera e propria. I downtime dei sistemi e i data breach possono essere causati non solo da minacce esterne, ma anche (e, talvolta, soprattutto) da errori interni. Questi, potenzialmente molto dannosi, possono essere evitati investendo in security awareness, ovvero facendo in modo di sviluppare una cultura della sicurezza all’interno di tutta l’organizzazione, a prescindere dalle sue dimensioni.