V následujícím článku bychom vás rádi seznámili s projektem, jehož cílem bylo pomoci malým a středním advokátním kancelářím s ochranou dat před kybernetickými útoky. Proč zrovna advokátním kancelářím?
Důvod je jednoduchý. Hrozba kybernetických útoků se již netýká jen velkých společností nebo konkrétního sektoru. Hackerské skupiny se stále častěji zaměřují i na kampaně cílené na menší společnosti s velmi citlivými daty. Velká část těchto útoků je provedena prostřednictvím phisingu, tedy podvodné techniky používané na internetu a sloužící k získání citlivých údajů nebo donucení uživatele poskytnout útočníkovi přístupy do systému. Následně útočník využije získaných přístupů k rozšíření škodlivé aplikace/kódu v organizaci. Dnes nejznámějším a nejvíce používaným typem útoků jsou ransomware útoky. Cílem je tedy zašifrování/znepřístupnění dat s požadavkem na zaplacení výkupného.
Proč právě advokátní kanceláře?
Advokátní kanceláře dlouhodobě zpracovávají a uchovávají velmi citlivá data a informace svých klientů, kteří jim svěřili svoji plnou důvěru. Z toho se dá logicky usoudit, že většina kanceláři se ochranou dat a řešení otázek kybernetické bezpečnosti musí systematicky zabývat. Nicméně v praxi tomu tak není.
Nemalé procento advokátů jsou totiž živnostníci – jednotlivci, kteří pouze sdílejí kancelářský prostor se svými kolegy a pracovní stanice jim slouží jako pracovní nástroj k výkonu povolání. Nic víc, nic míň. Jen malé procento advokátních kanceláří má vlastní IT oddělení a prakticky žádné nemají oddělení informační bezpečnosti. Situaci v oblasti povědomí o kybernetické bezpečnosti pěkně shrnuje Americká advokátní komora, která pravidelně vydává technologický report a v něm uvádí, jak advokátní kanceláře řeší kybernetickou bezpečnost. Pokud výsledky za rok 2021 prezentujeme, a to cituji doslovně, jsou výsledky šokující a pozitivní pohyb za poslední rok, či několik let, je prakticky nulový. Komora uvádí, že vzhledem k rostoucímu počtu útoků a výskytu ransomware očekává stále více smutných příběhů o bezpečnostních incidentech v advokátních kancelářích.
Celá zpráva je dostupná zde:
https://www.americanbar.org/groups/law_practice/publications/techreport/2021/cloudcomputing/
Proč je situace taková, jaká je?
Důvod je mezi řádky popsán výše. Advokátní kanceláře tuto oblast prostě neřešily, protože si neuvědomovaly rizika a neměly dostatečné kompetence. Situaci si samozřejmě dobře začali uvědomovat i útočníci a advokátní kanceláře se staly jejich oblíbeným cílem. České kanceláře nevyjímaje. Článků na toto téma, a to i v advokátních novinách, najdete celou řadu. Za všechny např. https://advokatnidenik.cz/2020/12/07/odbornik-varuje-ransomware-utoci-na-advokatni-kancelare/. Všechno zlé je pro něco dobré a právě díky těmto útokům se téma ochrany začíná řešit i v tomto segmentu trhu a ne všechny kanceláře zůstaly pasivní. A mezi ty aktivní patří AK INPARTNERS GROUP pod vedením Mgr. Jana Braunera, LL.M. který se zaměřuje na právo v oblasti informačních a komunikačních technologií. Od něj vzešel požadavek na vytvoření konceptu zabezpečení advokátních kanceláří. Cílem bylo vytvořit řešení, které by advokáty personálně nezatížilo a nevyžadovalo znalosti a služby IT odborníků.
Při tvorbě konceptu jsme se v projektu zaměřili na potřeby advokátních kanceláří, jejich personální obsazení a schopnosti v oblasti IT. Následně bylo vyhodnoceno, jaké produkty jsou vhodné pro pokrytí většiny kybernetických bezpečnostních rizik, kterým kanceláře čelí. Porovnáním potřeb, hrozeb a finančních nákladů byl společně s INPARTNERS GROUP vytvořen koncept služby, který kancelář finančně a personálně skoro nezatíží.
Jako vhodné technologie byly zvoleny Data Lost Prevention (DLP) a Endpoint Detection and Response (EDR) v kombinaci se službami bezpečnostního dohledového centra (SOC). Přesně tyto technologie a řešení pokryly značnou část rizik. V obou případech byly zvoleny cloud technologie, tedy technologie, které nevyžadují serverovou část instalovanou u klienta. Prakticky tak není na straně AK vyžadována žádná infomační infrastruktura a cenové náklady jsou příznivé.
DLP část v tomto případě zabezpečuje ochranu a audit dokumentů (kdo, kdy a jak s nimi nakládá) a jejich obsahu, a pokrývá rizika spojená s lidskou chybou při práci s nimi.
EDR část pokrývá rizika spojená s průnikem kybernetických útočníků na koncové stanice a zabraňuje útočníkovi v nepozorovaném působení. Typicky EDR detekuje ransomware útoky nebo útoky založené na kompromitaci účtů a hesel.
Nad těmito produkty byla postavena služba bezpečnostního dohledového centra (SOC) jehož pracovníci vyhodnocují bezpečnostní události z výše uvedených nástrojů a informují zákazníka o případných rizicích. SOC hraje v celém konceptu zásadní roli, protože přineslo potřebné lidské zdroje, odbornou erudici a kompetence. A to je to, co malým a středním kancelářím, bez vlastního oddělení informační bezpečnosti chybí, anebo si to nemohou dovolit.
Celý koncept byl poměrně rychle nasazen a ověřen. Samotné nasazení technologií je otázkou několika hodin. Následně odladění detekcí pro kancelář trvalo necelé dva měsíce. U dalších kanceláří předpokládáme nasazení do měsíce.
Přínosy našeho řešení by se daly shrnout následujícím způsobem.
První záznamy otevřou oči samotným majitelům kanceláře. Poprvé uvidí, jaká data zpracovávají, jak s nimi zaměstnanci a kolegové pracují a jaké důsledky by znamenala jejich ztráta. Následně by mělo přijít uklidnění, že jejich systémy nejsou aktuálně kompromitovány.
Nyní je realizační projekt uzavřen a kancelář je pod dohledem specialistů SOC. Probíhá pravidelný reporting a jednotlivé události jsou řešeny ve vzájemné spolupráci. SOC nehraje roli hlídače, ale partnera, který pomáhá, aby někdo mohl klidně spát.
Celý koncept je nyní připraven na nasazení v rámci dalších kanceláří nebo u typově podobných společností.
Autoři:
Mgr. Jan Kozák, Projektový manažer ve společnosti AXENTA a.s.
Mgr. Jan Brauner, LL.M., Advokát
