Escritório advocacia segurança

Em função do valor das informações que processam e armazenam, escritórios de advocacia são alvos atraentes de ataques.

O presente artigo tem como referencial o documento Cyber threats to the legal sector and implications to UK businesses , publicado pela CERT-UK em 5 de julho de 2016.

A CERT-UK ofereceu uma visão abrangente sobre as tendências de ataque contra o setor jurídico do Reino Unido, incluindo motivações e metodologias, bem como alguns estudos de casos.

Entender os tipos de ataques, motivações, metodologias e alguns dos casos – independente da geografia – é de suma importância para os gestores de escritórios de advocacia tomarem consciência e adotarem medidas de segurança.

Não restam dúvidas de que os escritórios de advocacia desempenham papéis importantes na sociedade, afinal, seus advogados fazem parte das engrenagens da máquina judiciária, seja defendendo interesses dos seus clientes em litígios, apoiando juridicamente negócios, elaborando contratos e uma série de outras atividades de caráter consultivo. Desse modo, naturalmente, são depositárias de informações críticas e sensíveis, representando, portanto, alvos atraentes para agentes maliciosos que têm, principalmente, dois objetivos:

  1. Atacar diretamente os escritórios de advocacia usando ransomware e campanhas de phishing, a fim de praticar extorsão e fraudes;
  2. Ter acesso às informações confidenciais dos clientes do escritório.

Apesar dos riscos – o CERT do Reino Unido alerta – os escritórios de advocacia não têm consciência e nem adotam medidas de proteção proporcionais às ameaças as quais estão sujeitos. Estima-se que 62% dos escritórios foram vítimas de algum ciberataque no último ano, enquanto apenas 35% desenvolveram um plano de mitigação de riscos.

O quadro é preocupante, uma vez que o Reino Unido é um dos países que mais buscam difundir a consciência em cibersegurança. 1 Imagino que o cenário em nosso país, que não tem arraigada uma cultura em segurança da informação, seja muito pior. Na ausência de estudos no Brasil sobre o setor (pelo menos, desconheço algum), advém a importância de discutir o assunto, mesmo que baseado na experiência de outro país.2

Introdução

Ter clareza a respeito da importância da cibersegurança e saber por onde começar são desafios significativos para a maior parte dos escritórios.

A preocupação com a confidencialidade, ou seja, a garantia de que as informações sejam acessíveis apenas àqueles autorizados a ter acesso, faz parte da realidade de qualquer escritório, não importa o seu tamanho.

As informações armazenadas pelo setor jurídico são, geralmente, personalíssimas, críticas para muitos negócios e sensíveis comercialmente. Não há dúvidas, portanto, que tenham muito valor. Grande parte está armazenada em sistemas de informação internos e externos, no formato digital, aumentando a preocupação com a cibersegurança, de forma a assegurar a confidencialidade, integridade e disponibilidade.

Nos últimos 12 meses, de acordo com o CERT-UK, muitos escritórios de advocacia sofreram algum tipo de violação, indicando, talvez, que as medidas de segurança da informação não são compatíveis com as ameaças.

O documento enfatiza que os escritórios deveriam estar cientes de que são alvos de alto valor e, portanto, precisam fazer esforços adicionais a fim de aumentar a capacidade de reagir aos ataques e reduzir os impactos.

Em 2015, pesquisa anual da PWC apontou que 62% dos escritórios de advocacia foram vítimas de ciberataques, o que representa um aumento de 17% em relação ao ano anterior.  O Gabinete do Comissário de Informação (ICO) também reportou aumento de 32% nos casos de vazamento de dados, representando 4.5% do total de todos os vazamentos no Reino Unido.3

Em 2015, os escritórios de advocacia foram classificados pela  Cisco na sétima posição entre os ambientes mais vulneráveis a ataques de malware. Havia sido a primeira vez que o setor aparecia no ranking. Como não são obrigadas por lei a divulgar informações para o público sobre violações de dados, pressupõe-se que o número de casos notificados seja apenas a ponta do iceberg.4

O documento observa que o ataque a um escritório não afeta apenas o setor jurídico, uma vez que, no Reino Unido, escritórios de advocacia estão maciçamente em todos os setores industriais. Sendo assim, as grandes corporações devem ter em mente que se investiram pesadamente em sua própria cibersegurança,  de nada adiantará se os escritórios de advocacia contratados não fizeram sua parte, enfraquecendo a cadeia de segurança da informação.

O setor jurídico é realmente um alvo?

A natureza das atividades realizadas diariamente pelo setor jurídico exige que uma grande quantidade de documentos seja criada. Arquivos PDFs, documentos Word e planilhas Excel são fundamentais para qualquer escritório de advocacia.

Arquivos anexados a programas maliciosos estão em ascensão, sobretudo através da entrega de malware de macro e phishing.5 Logo, como a transferência de documentos é vital para a operação dos escritórios, a exposição a ameaças aumenta, sendo fundamental investir em segurança.

Investir em segurança significa, também, considerar a educação do usuário, alertando sobre os riscos associados com a abertura de anexos de e-mails de remetentes desconhecidos.

O desafio da segurança da informação é agravado pela natureza do ambiente de trabalho dos escritórios, os quais exigem conexões com a Internet para acessos remotos, pesquisas, consultas e comunicação com os clientes. Consequentemente, os advogados são tentados a trabalhar utilizando conexões não protegidas, muitas vezes em dispositivos menos seguros, como tablets e smartphones.

O uso de vários dispositivos pode fazer a implementação de uma gestão eficaz de patches extremamente difícil, deixando a rede e dispositivos expostos a vulnerabilidades. Sendo assim, as organizações deveriam considerar empregar software de gerenciamento de dispositivo que permita a supervisão e controle sobre eles, além de introduzir políticas de uso de dispositivos pessoais (BYOD) em ambiente de trabalho.

 A PwC, em relatório de 2011, destacou que:

“Alguns escritórios de advocacia acreditam ser pequenos demais ou desconhecidas para despertar o interesse de hackers profissionais”.6

Passados quase 6 anos, a mentalidade continua a mesma. É preciso desmontar essa lógica. Negócios pequenos não são menos suscetíveis a ataques. Agentes mal-intencionados, sejam profissionais ou amadores, estão expandindo suas visitas para além de multinacionais, incluindo nas suas listas de ataque qualquer empresa que armazena dados em formato eletrônico. 7

Por que o setor jurídico é um alvo valioso?

O CERT-UK identificou diversos motivos que colocaram os escritórios de advocacia como alvo valioso para atores maliciosos.

Lucro: o lucro é a principal motivação dos criminosos. Inclui fraudes em colaboração com redes criminosas e extorsão mediante a ameaça de liberar os dados do cliente. Grupos de espionagem como Wild Neutron (AKA Jripbot, Morpho e Butterfly) estão envolvidos nessas atividades. A privacidade e a confidencialidade das informações são qualidades basilares para os escritórios de advocacia. O furto das informações dos clientes pode ser devastador para a reputação de um escritório.

Furto: escritórios de advocacia são cada vez mais vítimas diretas de furtos e fraudes financeiras. A empresa de seguros QBE relatou que £ 85 milhões foram furtados de escritórios de advocacia britânicos nos últimos 18 meses.8

Extorsão: em maio de 2016, o CERT-UK recebeu diversos relatos de tentativas de phishing direcionados (spear phishing) a escritórios de advocacia e departamentos jurídicos do Reino Unido. A ideia é seduzir o alvo a abrir o anexo contendo ransomware. Recomenda-se backups, bem como testes regulares de restauração, como meios de redução dos danos causados por ransomware. No entanto, usar malware não é o único meio de extorsão; ataques de injeção SQL (SQL Injection), em conjunto com ataques de força bruta a extranets, permitem ao atacante ganhar acesso às informações que revelam a situação jurídica do cliente. Este tipo de violação, normalmente, é acompanhado de extorsão e ameaças de liberação dos detalhes sobre o caso do cliente.

Informações: informações valiosas na forma de propriedade intelectual e patentes são muito visadas por grupos criminosos, especialmente por grupos APT. Atividades maliciosas a fim de ter acesso a essas informações são, muitas vezes, financiadas por Estados. Muitas empresas do Reino Unido contratam escritórios de advocacia. Não raro, são parceiros de confiança com altos níveis de acesso dentro de uma organização, tornando-se veículos perfeitos para cadeia de “entrega” de ataques. Em 2013, a BAE Systems identificou um escritório que estava sendo usado em um ataque watering hole, um método no qual um site legítimo é comprometido, a fim disseminar malware entre os seus visitantes.9

Exposição: escritórios de advocacia geralmente mantem os dados dos seus clientes por anos; em alguns casos, por décadas. Muitas dessas informações têm conteúdo político, econômico e podem revelar atividades criminosas.

Em 2012, a divisão hacktivista do Anonymous, a AntiSec, invadiu um escritório norte-americana para expor “ricos e poderosos opressores”.10

Se, por um lado, esses ataques têm influência mínima no funcionamento operacional do escritório, o impacto na marca e na reputação podem ser catastróficos. Em 3 de abril de 2016 o jornal alemão Süddeutsche ZeitungIn publicou uma série de documentos pertencentes ao escritório Mossack Fonseca.

Os documentos se referiam a uma pequena parte do significativo vazamento de dados conhecido como Panama Papers, o qual expôs 11.5 milhões de documentos, contendo detalhes financeiros sobre clientes desde os anos 70. Com 2.6 Terabytes, este foi o maior vazamento da história.11

Ramon Fonseca, o sócio fundador, declarou que o incidente foi causado por “um vazamento não autorizado do servidor de e-mail” e não por um “trabalho interno”. Se ele diz a verdade ou não, pouco importa. O incidente de segurança no escritório Mossack Fonseca revelou o quão fraca era a sua cibersegurança.

É altamente improvável que essa vulnerabilidade seja exclusiva do Mossack Fonseca. Na verdade, esse é uma características comum do setor que, de maneira geral, não se preocupa com a segurança.

O portal do cliente do Mossack Fonseca, por exemplo, não era atualizado desde 2013 e continha muitas vulnerabilidades.  Uma delas, já publicada na época, era o DROWN. Além disso, o portal era baseado numa versão não atualizada da plataforma open source de CMS, Drupal, a qual é conhecida por conter pelo menos 25 vulnerabilidades, incluindo uma de injeção SQL (SQL Injection), a qual permite que um agente malicioso execute remotamente comandos.

O website, também, rodava uma das mais conhecidas vulnerabilidades do WordPress, o Revolution Slider e, no momento do vazamento, não estava protegido por um firewall. O ponto chave é que a Mossack Fonseca deveria ter assegurado uma política de patching.

Além das vulnerabilidades do website, os invasores conseguiram copiar uma quantidade enorme de dados sem levantar suspeitas. Isso indica que é preciso estar atento em relação ao tráfego de rede, baseando-se em métricas que identifiquem aumento do fluxo de dados, o qual podem indicar vazamentos de dados.

Conclusões

1. Os escritórios de advocacia devem se precupar com a ação de grupos criminosos que realizam extorsões, bem como com a crescente tendência de ataques ransomware.

2. Grandes organizações investem milhões em cibersegurança, obrigando os cibercriminosos a adotar métodos de ataque mais inovadores e indiretos. Um ciberataque a um escritório de advocacia pode ter como alvo informações valiosas de um desses clientes milionários do escritório.

3. O CERT-UK avalia que os escritórios de advocacia do Reino Unido, de maneira geral, são vulneráveis a diversos tipos de ameaças. Apesar da inexistência de semelhante estudo no Brasil, eu infiro, levando em conta o nosso baixo nível de maturidade, que a situação por aqui seja pior.

4. Violações significativas no setor continuarão ocorrendo até que sejam adotadas medidas de segurança.

5. Por fim, o CERT-UK recomenda os 10 Passos para a Cibersegurança como ponto de partida. Sugere que todas as organizações que lidam com dados críticos e sensíveis dos seus clientes, como escritórios de advocacia, devam ser cobradas a fazer o mesmo.

Quero ser a prova de hackers

Referências

  1. A esse respeito, conheça o The National Cyber Security Centre (NCSC). Um dos principais objetivos da NSCS é fazer o Reino Unido um lugar mais seguro para realização negócios online.
  2. No meu dia a dia como consultor, é comum deparar-me com empresas que ainda estão no estágio reativo. Nesse cenário, as empresas, muitas vezes em função de limitações financeiras, são orientadas a atender necessidades básicas de segurança, adotando controles técnicos fundamentais, como software antimalwarebackup e firewall. Métricas e uma política de segurança da informação são praticamente inexistentes.
  3. The Panama Papers and Implications for Cyber Security in Law Firms: http://www.lexology.com/library/detail.aspx?g=62a99a2e-cff3-4e2d-a047-11a4adac64f6
  4. Most Big Firms Have Had Some Hacking: Business of Law: http://www.bloomberg.com/news/articles/2015-03-11/most-big-firms-have-had-some-form-of-hacking-business-of-law
  5.  Proteção contra malware de macro: http://foundstone.com.au/br/resources/solution-briefs/sb-quarterly-threats-nov-2015-3.pdf
  6. Safeguarding your firm from cyber attacks: https://www.pwc.com/us/en/law-firms/assets/pwc-safeguarding-your-firm-from-cyber-attacks.pdf
  7. Hackers Shift Attacks to Small Firms: http://www.wsj.com/articles/SB10001424052702304567604576454173706460768
  8. FT reports £85m stolen from law firms by hackers: http://www.lawsociety.org.uk/news/stories/ft-reports-85m-stolen-from-law-firms-by-hackers/
  9. Top City firm fights off cyber attack: https://www.thelawyer.com/issues/online-october-2013/top-city-firm-fights-off-cyber-attack/
  10. Anonymous splinter group AntiSec wages war on ‘profiteering gluttons’: https://www.theguardian.com/technology/2012/feb/27/anonymous-splinter-group-antisec-waging-war
  11. Panamá Papers sob a ótica da cibersegurança: https://www.mycybersecurity.com.br/panama-papers-ciberseguranca-informacao/
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.