Cybersikkerhed vil fortsat være en stor risiko for alle advokatfirmaer i 2024 som følge af den følsomme natur af de oplysninger, de opbevarer, og de store beløb, de forvalter for kunderne.
Advokatfirmaer gennemgår og analyserer enorme mængder af data, som vedrører meget følsomme finansielle oplysninger, immaterialret, forretningsstrategier og andre personlige aftaler. Det er en topprioritet for alle virksomheder at holde deres kunders oplysninger sikre, og der er virkelig ingen plads til fejl, da det er en forretning, som er bygget på tillid og fortrolighed.
2023 markerede sig selv som en øjenåbner for den juridiske branche med et forbløffende stort antal advokatfirmaer,[1], der rapporterede om databrud i løbet af året.
Med investeringer på i alt 270 mio. kr. (36 mio. euro) i cybersikkerhed før udgangen af 2024[2] og rangerende øverst blandt landene med den bedste cybersikkerhed,[3] hvordan kan Danmark så blive så påvirket af databrud som ovenstående?
Svaret ligger i den måde, at advokatfirmaerne er placeret i flere lande – med op til hundrede forskellige enheder. Et databrud, som opstår flere tusinde kilometer væk, kan nemt forvandle sig til et hackerangreb med en katastrofal følgevirkning for alle bedrifter i en virksomhed, herunder lande, der er så opmærksomme på cybersikkerhed som Danmark.
Der skal være etableret passende sikkerhedsprotokoller og leveringsmetoder for ikke blot at dele sagsmateriale med godkendte interne parter på tværs af virksomheden – advokater, udenretslige medarbejdere, finans- og skatteeksperter – og eksternt med kunder og modparter, men også for at beskytte oplysningerne mod cyberangreb udefra. Virksomheder skal beskytte sig selv mod konstant nemesis fra hackere, cyberkriminelle, ransomwareanbreb og databrud, som søger efter teknologiske sårbarheder for at få adgang til e-mails, netværk og servere.
Misforståelse: Krypterede e-mails er sikre mod hackerangreb og lækage
Mange jurister arbejder under og er afhængige afsignerede fortrolighedsaftaler, og føler sig som følge heraf ofte trygge ved at vedhæfte ikke-krypterede filer i e-mails – som er særligt sårbare og udsatte for hackere overalt under overførslen. Selv softwarekryptering af vedhæftede filer i e-mails giver en falsk sikkerhedsfølelse, da tilgængelige tricks og værktøjer på internettet med succes har afsløret adgangskoder via brute force-angreb – ved at sætte ti, hundredvis eller tusindvis af computere sammen i netværk til at gætte adgangskoder og dekryptere softwarekrypterede filer. Advokatfirmaer med national og international udbredelse pålægges at beskytte oplysninger iht. reglerne og kravene i American Bar Association ud over GDPR i EU (General Data Protection Regulation), CCPA (California's Consumer Privacy Act ), retskendelser og andre strukturer, som bestemmer, hvordan data opbevares, krypteres og deles mellem parter.
Den bedste og mest sikre metode, som opfylder alle disse bestemmelser for deling af fortrolige oplysninger, er igennem et hardwarekrypteret USB-drev, som er beskyttet med adgangskode.
"En løsning, som flere og flere virksomheder og advokater vender sig mod, er hardwarekrypterede, adgangskodebeskyttede Flash-drev. Disse drev er "isoleret" storage og en sky i din lomme, som kan tilgås, bruges og sikres uden internetforbindelse, og der er ingen fare for, at de hackes eller dekrypteres, hvis de mistes eller stjæles, da hvert drev er udstyret med en hardwaremikroprocessor, som er indbygget direkte i enheden, og som kan tilgås sikkert uden behov for at oprette forbindelse til en offentlig sky for at hente en nødvendig fil. Hvert drev er sit eget sikre økosystem, som alene afhænger af en stærk adgangskode for at få adgang til data, hvilket gør dem usårlige for brute force-angreb", udtaler Rich Kanadjian, som er global business manager hos IronKey, Kingston Technology.
Indlæsning af oplysninger på en ekstern adgangskodebeskyttet lagerenhed placerer sikkerheden under brugerens fysiske kontrol, hvilket fjerner bekymringer for cyberangreb, da den ikke er forbundet med internettet og fungerer som en sky, som kan transporteres sikkert mellem flere placeringer eller parter. Med Kingston IronKey's Vault Privacy 50 Series USB Flash-drev, Keypad 200 Series, hardwarekrypteret USB Flash-drev eller D500S USB Flash-drev, er der den tryghed, at dataene forbliver sikre mod både cyberangreb, eller hvis drevet stjæles. Alle disse drev er udstyret med BadUSB-sikring mod malware med digitalt signeret firmware og har et indbygget sikkerhedssystem, som blokerer for brute force-angreb og beskytter indtastning af adgangskode mod keyloggere og ikke-betroede systemer – hvilket ultimativt medfører, at drevet foretager en kryptosletning og permanent sletning af dataene.
Med henblik på deling mellem parter eller ved situationer, hvor en adgangskode glemmes pga. en menneskelig fejl, tillader VP50 series- og D500S-drevserien mulighed for flere adgangskoder: Bruger, administrator og engangsgendannelse (for VP50-serien og D500S), den traditionelle komplekse adgangskode, som tilbyder 3 af 4 karaktertegn og mindst 7-8 tegn, afhængigt af drevet, samt den nye adgangsfrasemetode, som tillader fritekst fra 10-64 eller helt op til 128 tegn. FBI og NIST anbefaler adgangsfraser frem for komplekse adgangskoder, og jo længere adgangskoder er end 15 tegn, jo mere sikre er de mod forsøg via gæt.
KP200-serien er et drev, som – uafhængigt af operativsystem – kan bruges med stort set alle operativsystemer eller selv maskiner, f.eks. sikre printere eller kopimaskiner, som anvendes til udskrivning af følsomt materiale. Dette USB Flash-drev er udstyret med et alfanumerisk tastatur for brugervenlig PIN-adgang, som er belagt med et polymerlag, som beskytter tasterne og skjuler tasteanslag via analyse af fingeraftryk på tasterne. Drevet har også et indbygget genopladeligt batteri, som kan bruges til at låse op for drevet uden brug af software, og som kan indsættes i en vilkårlig enhed, der understøtter en masselagringsenhed af USB-type A eller C – hvilket giver advokater og virksomheder mulighed for at dele drevet med betroede interne eller eksterne parter, som benytter forskellige platforme og operativsystemer.
[1] https://chartrequest.com/top-law-firm-data-breach-exxamples-2023/
[2] https://www.cyberlands.io/topsecuritybreachesdenmark
[3] https://www.ips-journal.eu/work-and-digitalisation/how-denmark-became-the-most-cyber-secure-country-5290/#:~:text=This%20year%2C%20the%20Ministry%20of,British%20security%20research%20firm%20Comparitech