Verhoogd risico cyberveiligheid binnen de juridische sector

SecurityHQ, een wereldwijde expert in computerbeveiliging, heeft onderzoek gedaan naar de cybersecurity binnen advocatenkantoren. Van de 40 onderzochte kantoren gaf 75% aan het slachtoffer te zijn geweest van een cyberaanval en bij 23 van de rechtstreeks getroffen kantoren werd voor meer dan 4,7 miljoen euro aan geld van cliƫnten gestolen.


Uit het onderzoek blijkt dat de helft van de kantoren het onbeperkte gebruik van externe media voor gegevensopslag hebben toegestaan, dat meldt het rapport van de Solicitors Regulation Authority (SRA). 

In vergelijking met andere sectoren loopt de juridische sector een verhoogd risico op cyberdreigingen, vooral vanwege de vertrouwelijke gegevens en gevoelige cliëntinformatie die beschikbaar zijn als een aanval slaagt. De beveiliging staat vaak niet bovenaan de prioriteitenlijst  omdat er met name advocaten en geen IT-teams binnen de kantoren zijn.
 
Een van de belangrijkste ransomware-aanvallen van 2017, waarbij DLA Piper, een van de grootste advocatenkantoren wereldwijd, werd getroffen door een ransomware-aanval, heeft miljoenen gekost in de vorm van indirecte/directe kosten en downtime. Volgens TitanFile werd indertijd onder andere de hackingtool EternalBlue gebruikt om de aanval uit te voeren, welke volgens geruchten was gestolen van de NSA.
 
Piper was niet het enige bedrijf dat door de aanval werd getroffen, er kwam vervolgens een golf aan incidenten in de juridische sector en sinds 2017 zijn de bedreigingen alleen maar geëvolueerd en geraffineerder. Dit benadrukt de noodzaak van proactieve, in plaats van reactieve, threat hunting. Om bedreigingen te spotten en te stoppen, voordat het te laat is.
 
Wie/wat is het doelwit van de juridische sector?
In het rapport  voor juridische diensten staat dat de sector naar verwachting zal groeien van 713,12 miljard dollar in 2021 tot 788,94 miljard dollar in 2022 met een samengesteld jaarlijks groeipercentage (CAGR) van 10,6%. Het staat hiermee buiten kijf dat een geslaagde aanval veel oplevert. Financieel gewin vormt de kern van de meeste aanvallen binnen de sector, waarbij infiltratie plaatsvindt via aanvallen op de toeleveringsketen via ransomware/phishing-aanvallen.
 
Volgens Eva Velasquez, CEO, Identity Theft Resource Center (ITRC)  weerspiegelt de "supply chain-, phishing- en ransomware-aanvallen een bredere trend dat cybercriminelen meerdere organisaties willen uitbuiten via één point-of-attack."
 
Ransomware-aanvallen
Advocatenkantoren bezitten waardevolle gegevens die kunnen worden geëxfiltreerd. Advocaten kunnen het zich niet veroorloven om zelfs maar iets over een zaak te verliezen, dus als er gegevens worden gestolen, zijn ze geneigd het losgeld te betalen of aan de eisen van de bedreigingsgroep/aanvaller te voldoen, omdat er teveel risico’s zijn als gegevens worden gelekt.
 
Campbell Conroy & O'Neil P.C is één voorbeeld van de vele advocatenkantoren die in 2021 door een ransomware-aanval werden getroffen. Na de aanval had het bedrijf geen toegang meer tot bestanden die van groot belang waren voor hun cliënten en die persoonlijke informatie bevatten.

In reactie op de aanval heeft de juridische praktijk deze mededeling over de informatie gedaan, die de impact van de situatie en het gebrek aan kennis over de hoeveelheid verloren informatie bevestigt. 
 
Campbell Advocaten: “We kunnen niet bevestigen of de aanvaller specifieke informatie met betrekking tot individuen heeft geopend of bekeken. We hebben echter vastgesteld dat de in het systeem aanwezige informatie de namen, geboortedata, rijbewijsnummers / staatsidentificatienummers, financiële rekeninginformatie, sofinummers, paspoortnummers, betaalkaartinformatie, medische informatie, zorgverzekeringsinformatie, biometrische gegevens, en/of online accountreferenties (d.w.z. gebruikersnamen en wachtwoorden) van bepaalde personen omvatte.”
 
Wat bedrijven kunnen doen om ransomware-aanvallen te voorkomen
In een recente whitepaper over het bedreigingslandschap voor ransomware werd benadrukt dat er nieuwe ransomware-stammen ontstaan die gebruikmaken van bestandloze malware en tactieken voor gegevensverwijdering en iedere verandering aangrijpen om effectievere campagnes te lanceren.
 
Conventionele beveiligingstools, die alleen bekende cyberbedreigingen kunnen detecteren met behulp van regels en handtekeningen zijn blind voor evoluerende ransomware-stammen. Beveiligingsteams kunnen deze bedreigingen niet bijhouden met alleen traditionele controles, vooral niet als ze onderbemand of afwezig zijn. Bedrijven moeten beveiligingstechnologie inzetten die ransomware kan stoppen als het opduikt, voordat het schade kan aanrichten.
 
Phishing-aanvallen in opmars
Ransomware-aanvallen op de juridische sector beginnen vaak in de vorm van een slimme phishing-aanvalcampagne, door middel van corrupte e-mails, die kwaadaardige links bevatten. E-mailadressen en domeinnamen kunnen gemakkelijk worden vervalst, ben waakzaam bij het lezen, openen en beantwoorden van berichten.
 
  • Open geen bijlagen van een onvertrouwde/onbekende afzender
  • Controleer op typefouten, aangezien deze een goede indicatie zijn van een vervalste e-mail.
  • Deel geen gevoelige informatie overhaast, wees er zeker van dat u stuurt naar wie u denkt dat u stuurt.
  • Trap niet in URGENCY, vooral niet als het uit het niets komt.
  • Open geen links als u niet zeker weet wat het is of wie de afzender is.
  • Als u denkt dat de e-mail/link echt is, ga dan met de muis over bijlagen om te controleren of er een echte link is, voordat u erop klikt of iets downloadt.
  • Als berichten te goed klinken om waar te zijn, is de kans groot dat ze kwaadaardig zijn en u alleen maar proberen te lokken.
  • Houd uw apparaten up-to-date.
  • Controleer regelmatig uw accounts.
  • Tot slot, bij twijfel, stuur onmiddellijk een bericht naar uw beveiligingsteam/manager als u iets ongewoons vermoedt.
  • Compromittering van de toeleveringsketen en bedreigingen van derden
 
De toeleveringsketen van een advocatenkantoor kan op verschillende manieren worden gecompromitteerd, bijvoorbeeld door de exploitatie van gegevensopslagplaatsen van derden, casemanagementsystemen of leveranciers van juridische software. Aanvallen op de toeleveringsketen zijn in het eerste kwartaal van 2021 in de VS met 42% toegenomen.
 
Twee soorten interne bedreigingen - bent u er een van? 
1) Via een vertrouwde werknemer die onopzettelijk gegevens schendt. Dit is vaak te wijten aan een gebrek aan opleiding/training intern en de gebruiker is zich er niet van bewust dat zijn acties het bedrijf schade berokkenen.

2) Via een vertrouwde werknemer/ex-werknemer die opzettelijk informatie lekt voor eigen gewin. Dat gewin kan de vorm aannemen van betaling door een bedreigingsgroepering, die de persoon kan hebben gedwongen. Of de aanval kan het gevolg zijn van een persoonlijke wrok tegen de organisatie/het individu binnen het bedrijf.
 
Aanbevelingen aan de juridische sector om de beveiliging te verbeteren
Zorg voor Cyber Essentials, waar uw bedrijf van profiteert en mee samenwerkt.
 
Met XDR (Extended Detection & Response) kunt u het pakket kiezen dat het beste werkt voor u en de soorten/hoeveelheden gegevens die u bezit.
 
Als u dit eenmaal hebt ingesteld, is User Behavior Analysis (UBA) nuttig om patronen in het gebruikersgedrag te categoriseren, zodat u kunt begrijpen wat normaal gedrag is, en om abnormale activiteit te detecteren. Als er een ongebruikelijke actie wordt ondernomen op een apparaat of op een bepaald netwerk, zoals een medewerker die 's avonds laat inlogt, inconsistente toegang op afstand of een ongebruikelijk hoog aantal downloads, krijgen de actie en de gebruiker een risicoscore op basis van hun activiteiten, patronen en tijd. Op die manier kunnen ongebruikelijke zaken worden opgespoord voordat er kwaadaardige activiteiten worden verricht.
 
SecurityHQ heeft incident response onderzoeken uitgevoerd in een breed scala van industrieën, en met klanten over de hele wereld binnen de juridische sector, en is zodoende geschikt om samen te werken met advocatenkantoren.
 
 
Over SecurityHQ
SecurityHQ is een wereldwijde MSSP, die bedreigingen detecteren en erop reageert. Als beveiligingspartner waarschuwen en reageren zij op bedreigingen voor klanten. Analisten werken samen met klanten, als een verlengstuk van bedrijven met de Global Security Operation Centres. Met bekroonde beveiligingsoplossingen, kennis, mensen en procesmogelijkheden worden bedrijfsprocessen versnelt en risico's en totale beveiligingskosten verlaagd.
 
Auteur: Eleanor Barlow, Content Manager, SecurityHQ
 
Geplaatst op 07-06-2022


Share on: