Escritórios de advocacia processam, diariamente, informações altamente sensíveis dos seus clientes. E como está a segurança da informação? 

Ganhou um certo destaque na mídia especializada, no começo de julho, a notícia de que “Hackers estão vendendo acesso a segredos de escritórios de advocacia pela dark web”.1

Alguma novidade? Nenhuma. Apenas foi noticiado o que as pessoas de bom senso da área de segurança da informação já desconfiavam (ou já sabiam).

A Q6 Cyber, empresa de cibersegurança especializada em monitorar a dark web, apontou a existência de um fórum de discussões russo, onde o acesso a arquivos e à rede de escritórios de advocacia de Nova Iorque, Beverly Hills e outras localidades dos EUA, eram vendidos por US$ 3.500. Os criminosos, inclusive, enviavam capturas de telas  aos interessados, a fim de provar que o negócio era quente. O nome dos escritórios, evidentemente, não foram divulgados.

Isso é só a pontinha do iceberg

Os incidentes de segurança da informação do setor jurídico, em sua grande parte, nunca são descobertos. No Brasil, eu pelo menos nunca ouvi uma notícia a respeito. Ou você já ouviu falar de alguma banca brasileira de advocacia vítima de ataque ransomware, por exemplo?

Leia também: A segurança da informação nos escritórios de advocacia

Muitas desses escritórios, certamente, estão envolvidas com negócios milionários, por exemplo, fusões, incorporações, aquisições de empresas, guardando, portanto, informações sigilosas. Se alguém tiver acesso a elas, poderá obter vantagens numa negociação ou litígio.

Os escritórios de advocacia são apenas um dos muitos alvos do cibercrime. Talvez, um dos menos protegidos. Para se ter uma ideia da dimensão do problema, em relação ao mesmo período de 2017, houve um aumento de 135% na quantidade de dados financeiros, como registros de contas bancárias e registros financeiros, vendidos na dark web.2

Pergunto: Se os bancos e instituições financeiras, mesmo investindo pesadamente em segurança, têm vulnerabilidades, você consegue imaginar o que ocorre com os escritórios de advocacia, os quais guardam informações incrivelmente valiosas, como propriedade intelectual, registros médicos, dados financeiros, bancários, informações protegidas pelo segredo de justiça etc?

Repletos de informações confidenciais e valiosas nos seus discos rígidos, mas no tocante aos recursos investidos em cibersegurança, os escritórios não chegam perto dos esforços realizados por empresas de  outros setores, como finanças e saúde.

Se nos grandes escritórios, o problema da falta de segurança existe, imagine a situação do advogado autônomo, que usa uma infinidade de dispositivos eletrônicos, alguns deles em rede e sem a devida proteção. Aliás, proteção, muitas vezes, limitada a um software antivírus, gratuito, ainda por cima.

Apesar de prevalecer uma postura displicente em relação à cibersegurança, tenho colegas advogados que se preocupam com suas informações pessoais e dos seus clientes. Além de uma boa solução antivírus (que é o mínimo do mínimo), investem em firewall, sistemas de controle de acesso, gerenciamento de vulnerabilidades e em criptografia. Porém, são exceções. O fato é que quase todo advogado é meio refratário em relação a assuntos tecnológicos. Eu até entendo essa resistência. Ninguém está pedindo que sejam especialistas. Isso seria muito difícil, já que o universo de interesses – além de outros motivos – de um advogado e de um tecnólogo, em regra, são muito distintos. 3

A propósito, dentro de uma corporação, você sabe qual é a classe de profissionais mais fácil de ser “raqueada”? De acordo com a Verizon, são os advogados corporativos os que mais caem nos golpes de phishing. O relatório sobre violação de dados apontou os profissionais dos departamentos como os mais propensos, do que qualquer outros, a serem enganados.4

Qual o motivo dessa propensão?

Seria por que os advogados costumam se considerar espertos demais? Superestimam suas habilidades com a tecnologia? São ansiosos, apressados e, por isso, acabariam não avaliando uma mensagem cuidadosamente? Como boa parte das suas relações são baseadas na confiança (clientes, parceiros, colegas), seriam mais fáceis de serem conquistados? 5

Curiosamente, os altos escalões das empresas não procuram seus departamentos jurídicos quando o assunto é cibersegurança, apesar de muitas questões legais estarem envolvidas. Agora sabemos o porquê.6

Meus colegas advogados precisam acordar para a realidade do cibercrime. As histórias aqui contadas por mim não são inventadas pela industria de cibersegurança, com o fim de disseminar um sentimento de insegurança, como estratégia para vender seus produtos. Quem já foi vítima, sabe como é horrível e doloroso ser atingido por um ataque.

Quase dois anos depois, em março deste ano, o escritório de advocacia Mossack Fonseca, ligado ao vazamento de dados conhecido como Panamá Papers, encerrou suas operações. Em comunicado, o escritório alegou que “A deterioração da reputação, a campanha de mídia, o cerco financeiro e as ações irregulares de algumas autoridades panamenhas causaram danos irreparáveis, cuja consequência obrigatória é a cessação total das operações ao público.”7

Leia também: Panamá Papers sob a ótica da cibersegurança

Lembre-se que o advogado tem que lidar com muitos documentos digitalizados, estejam eles num disco rígido recheado de informações sensíveis ou se movimentando por e-mail. Proteger os dados do escritório e dos clientes deve ser uma prioridade máxima para os escritórios de todos os tamanhos.

Minha dica: faça uma avaliação honesta da segurança digital do seu escritório. Você realmente se preocupa em ser a próxima vítima ou isso não passa pela sua cabeça? Você sabe por onde começar para se proteger ou não tem a mínima ideia?

Danos à reputação, interrupção dos negócios e sanções legais (vide o PLC n° 53/2018 – Lei Geral De Proteção de Dados Pessoais) são motivos mais do que suficientes para convencê-lo do quão importante é essa questão. Se ainda não estiver convencido, leia sobre alguns dos principais incidentes de segurança envolvendo escritórios de advocacia.


Cybersecurity courses

Referências

  1. Hackers are selling access to law firm secrets on dark web sites: https://www.cnbc.com/2018/07/11/hackers-selling-access-to-law-firm-networks-on-dark-web-sites.html
  2. The Financial Services Threat Landscape Report (July 2018): https://www.intsights.com/financial-services-threat-landscape-report-july-2018
  3. O problema da segurança da informação não pode ser resolvido apenas com soluções técnicas. Elas são necessárias, mas não suficientes. Dentro de uma organização, todos devem estar comprometidos com a proteção dos dados. Essa tarefa não é apenas dos departamentos de TI. Nesse sentido, a criação de uma cultura de conscientização, na qual todos se consideram peças importantes, é fundamental para lidar de maneira eficaz com as ameaças.
  4. 2015 Data Breach Investigations Report: http://www.verizonenterprise.com/DBIR/2015/
  5. Corporate Lawyers Are the Easiest Lawyers to Phish: https://blogs.findlaw.com/technologist/2015/09/corporate-lawyers-are-the-easiest-lawyers-to-phish.html
  6. Strategy, Succession, Security: Lessons From a C-Suite Survey: https://blogs.findlaw.com/in_house/2015/05/strategy-succession-security-lessons-from-a-c-suite-survey.html
  7.  Mossack Fonseca to close doors at end of month: http://www.fcpablog.com/blog/2018/3/16/mossack-fonseca-to-close-doors-at-end-of-month.html
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.