האקרים, משרדי עורכי דין וניהול סיכונים – אל תגידו "לי זה לא יקרה"

האם פריצות סייבר למשרדי עורכי דין הן אירוע שכיח? האם לבעלי משרד יש סיבה לחשוש אם הסיסמא שלהם למחשב פשוטה וקלה לאיתור? רגע לפני שאתם מוציאים מהפה את צירוף המילים האלמותי "לי זה לא יקרה", אתם מוזמנים לקרוא את הכתבה הבאה על האקרים, משרדי עורכי דין וניהול סיכונים.

בואו נתחיל בהתחלה. על כמה פריצות סייבר למשרדי עורכי דין שמעתם בחייכם? הניחוש שלי, בודדות. הסיבה לכך היא לא היעדר העניין שיש להאקרים במשרדים, אלא שרובן המוחלט של פריצות הסייבר למשרדי עורכי דין מושתקות. אחרי הכל, אף משרד גדול או קטן לא רוצה שהלקוחות שלו יידעו שהמסמכים המשפטיים הכי סודיים שלהם הגיעו לידיים הלא נכונות. לרוב, משרדים שנפרצו ויש ברשותם את האמצעים משלמים דמי שתיקה (והרבה), וגם אז מתעוררים מסיוטים בלילה שמא יצוץ מסמך נוסף שיחשוף את המחדל האבטחתי ששרר במשרדם ויביא לגל של בריחת לקוחות ותביעות רשלנות.

הסיבות לפריצות למשרדי עורכי דין מגוונות ומושפעות ממניעים כלכליים, אך גם מטעמים אידאולוגיים ומדיניים. כך למשל, לפני מספר חודשים פורסם כי בעקבות המלחמה בין רוסיה לאוקראינה, קבוצת ההאקרים הנודעת “Anonymous” פרצה למאגרי המידע של משרד עורכי הדין הרוסי Rustam Kurmaev and Partners וחילצה אלפי מסמכים רגישים (קישור). באותה המתקפה, העידו הפורצים כי המטרה הראשית הייתה להביך חברות וארגונים רוסיים רק בשל היותם רוסיים כך שלא היה קשר בין אופי הלקוחות לפריצה עצמה, אך עם השנים אנו רואים מגמה מדאיגה שבה האקרים שמים לעצמם כמטרה עיקרית משרדי עורכי דין בשל המידע הרב והרגיש שהם מחזיקים על מגוון לקוחות בעלי פרופיל גבוה.

דו"ח שיצא מטעם לשכת עורכי הדין האמריקאית בנושא של "2021 Legal Technology Survey Report" מציג סטטיסטיקה עגומה לפיה 35% ממשרדי עורכי הדין שמונים מעל ל- 100 עורכי דין חוו דליפת מידע עקב פריצה בשלב כלשהו (קישור). בישראל, לא פורסמו נתונים רשמיים אבל גורמים שונים בעולם עריכת הדין בישראל מעידים שזה קורה הרבה יותר ממה שהיינו רוצים להאמין.

לפני כשנתיים בזמן תקופת השיא של מחלת הקורונה, הכותרות צעקו אדום כאשר עשרות ארגונים ובהם משרדי עורכי דין מצאו את עצמם תחת מתקפת כופרה – ככל הנראה מהגדולות שידעה ישראל אי פעם (קישור). סכומי כופר גבוהים נדרשו מכל חברה ומספר מומחים להתמודדות עם מתקפות סייבר גויסו על ידי החברות והמשרדים השונים. עוד על פי הדיווחים באותה תקופה, לחלק מהמשרדים לא היו גיבויים למידע ולמערכות המחשב והם נאלצו, בסבירות גבוהה, לשלם את סכומי הכופר.

מתקפות אלו מצטרפות למספר אירועיי סייבר נוספים שעשו כותרות בשנים האחרונות. לפני כשנה וחצי פורסמה כתבה שחשפה כי משרד עורכי הדין Jones Day, אשר ייצג בין היתר את נשיא ארה"ב לשעבר דונלד טראמפ הותקף והודלפו ממנו מסמכים (קישור). באותו מקרה, קבוצת ההאקרים פרסמה ב- Dark Web (רשת המשמשת לפעילות עבריינית בחלק גדול מהמקרים) את הקבצים שהצליחה להפיץ ובכך גרמה למבוכה לפירמה. במקרה אחר, פירמת עורכי הדין הענקית מניו יורק, GSMS, נפרצה אף היא ותוקפיה דרשו כופר של לא פחות מ- 42 מיליון דולר (קישור). לאחר שהאחרונים סירבו לשתף פעולה עם התוקפים, הסכמי התקשרות חסויים ומסמכים נוספים בעניינה של כוכבת הפופ 'ליידי גאגא' הופצו ב- Dark Net.

משרדי עורכי דין צריכים להתעורר

עינת מירון, יועצת מומחית בתחום הסייבר, מכירה מקרים כאלה בשפע ולא אחת משרדי עורכי דין פנו אליה, בדיעבד, לאחר שהאקרים כבר תקפו את השרתים שלהם.

"סיכון סייבר הוא כל אירוע שבו פצחנים (האקרים) מבקשים לנצל נקודות תורפה במערכות הטכנולוגיות ו/או בתהליכי העבודה של החברה הן באמצעות תקיפה ישירה והן באמצעות ניצול חולשות מערכתיות או חולשות של עובד ספציפי – שמאפשרות לתוקפים לחדור לארגון ולגרום לו לנזקים. נזקים מסוג זה יכולים לבוא לידי ביטוי בהשבתה של פעילות החברה המותקפת, או למשל בגניבת מידע והדלפתו", מירון משתפת אותנו בשיחה שקיימנו עימה.

בשיחתנו, מירון מתארת את הפשטות שבה משרדי עורכי דין יכולים למצוא את עצמם בלב ליבו של אירוע הרסני, ועדיין, להישאר אדישים לסיטואציה מבלי להבין בכלל את המשמעויות של האירוע אליו הם עלולים להיקלע. "משרדי עורכי דין בארץ חושבים שהם חסינים למתקפות סייבר, ובהתאם נמנעים מלבצע פעולות פשוטות שיכולות להבטיח במידה כלשהי הגנה מינימאלית על העסק שלהם. בפועל – דווקא הם מטורגטים הרבה פעמים כיעד העיקרי בשל רגישות המסמכים שהם מחזיקים עבור לקוחותיהם", היא מזהירה.

"סוגיית אבטחת המידע במשרדי עורכי דין היא ממש בגדר אבסורד, כי אותם לקוחות של משרדי עורכי דין, לעיתים חברות ששוות מיליונים, משקיעות משאבים רבים על אבטחת מידע, בזמן שדווקא עורכי הדין שמייצגים אותם ונחשפים למידע הרגיש ביותר של לקוחותיהם – חשופים לתקיפות סייבר. זו בעיה שקיימת בכל העולם, אך בישראל זה ממש צורם".

מה בכל זאת ניתן לעשות?

מירון, המלווה מנהלים וארגונים בהיערכות מקדימה והתמודדות יעילה עם אירועי סייבר בהיבט העסקי, לא אומרת נואש ומפצירה בעורכי הדין לנקוט בכמה צעדים בסיסיים שיכולים להתברר בזמן אמת כמצילי חיים. הנה כמה טיפים שגיבשנו יחד איתה עבור קהל עורכי הדין, ויכולים לעשות את ההבדל.

העצה הראשונה, והכי קלה ליישום – העלאת המודעות בקרב העובדים לאיומים שקיימים ברשת. אנו ממליצים לערוך הדרכות לעובדים על סוגי האיומים ולתת להם דוגמאות לניסיונות פריצה אפשריים. גם דברים שנראים לכם ברורים לא בהכרח ברורים לעובדים שלכם וזו הזדמנות לעשות יישור קו.

העצה השנייה עוסקת בהחלת מדיניות על העברת מידע. האם מותר או אסור להעביר מידע דרך שיתוף תיקיות דרך אפליקציות כמו דרופבוקס? על מה מומלץ לא להתכתב בוואטסאפ/ מיילים/ ומה המדיניות לגבי מתן אפשרות עריכה בגוגל דוקס למספר רב של משתמשים? מערכת הכללים שתחילו על העובדים שלכם עלולה למנוע פירצה לגנב.

העצה השלישית היא ברורה מאליה, ועדיין, רובנו לא טורחים ליישם אותה – הקשחת סיסמאות. Aa123456 היא כנראה הסיסמא הכי ידועה בעולם וגם תאריכי לידה לא מעלים קושי על אלו שמבקשים לפרוץ למחשבים שלכם ולחדור לשרתים עמוסי המידע שלכם. תהיו קצת יצירתיים, תדאגו לאבטח את הסיסמאות שבחרתם ומידי פעם תחליפו סיסמא. נהלי האבטחה שנדרשים באפליקציות לבנקים שלכם רלוונטיים גם כאן.

העצה הרביעית אליכם היא צמצום הרשאות חשובות לגורמי מפתח בלבד. אם כל עורכי הדין צריכים גישה למקור מידע כזה או אחר, אין מנוס מלתת להם אותה, אבל כשאנחנו מדברים על נתונים כספיים אין סיבה שתהיה הרשאה לכל מי שמחובר לרשת במשרד. צמצמו היכן שניתן את ההרשאות, תנו אותם לגורמים החשובים והרלוונטיים ביותר בפירמה, ותדאגו להדריך אותם כיצד להימנע מתקיפות סייבר אפשריות.

עצה חמישית, קצת יותר מורכבת ומחייבת תהליך חשיבה יסודי ועזרה מקצועית – אבל קריטית. בחנו היטב כיצד ועל מה להחיל הצפנה של מסמכים. לרוב לא מדובר בהליך יקר או מורכב אבל הוא יכול להיות Game Changer במקרה שתוקפים יצליחו לשים יד על מסמכים רגישים. מידע מוצפן, או אפילו כזה שנשמר בתיקייה נפרדת עם הרשאות מוקשחות יותר, יקשה על תוקפים לגשת אל התוכן עצמו ולסכן את הלקוחות שלכם.

עצה שישית ואחרונה, נוגעת דווקא לאגו של עורכי הדין. עם כל הכבוד, עורכי דין מוצלחים וטכנולוגיים ככל שיהיו, לרוב, אינם אנשי סייבר. אם אתם עומדים בפני סכנה של אירוע סייבר, או שמא קיים חשש לפריצת מידע עתידית, הכירו את הגבולות שלכם והתייעצו עם מומחים בתחום. במקרים מסוג זה, עצה מאיש מקצוע יכולה לחסוך הרבה זמן וכסף.

לסיכום

מתקפת סייבר מתוכננת היטב יכולה למוטט כל עסק מבחינה כלכלית, לפגוע במוניטין שלו ובסופו של דבר להשבית אותו. הסטטיסטיקה מראה שמשרדי עורכי דין הופכים עם השנים ליעדים מתוכננים ומטורגטים לתקיפות האקרים, וזאת בשל רגישות המידע שהם מחזיקים בסודיות עבור לקוחותיהם.

אם אתם בעלים של משרד עורכי דין אל תגידו 'לי זה לא יקרה', ואם 'זה כבר קרה' – התייעצו עם מומחים. העלו את המודעות בקרב העובדים אצלכם, החילו מדיניות ברורה של העברת מידע, הקשיחו סיסמאות ותנו הרשאות למידע ולמסמכים קריטיים רק לאנשים הרלוונטיים ביותר. זה לא משנה אם אתם משרד קטן או גדול. הנזק הפוטנציאלי הוא לעיתים בלתי הפיך, והיכולת למנוע את רוב התקיפות לא מצריכה הרבה משאבים, אלא קצת משמעת.