黑客将律师事务所视为一个有价值的目标。去年,英国前100大律师事务所中有73%是网络攻击的目标。

重大的网络漏洞将如何影响您的业务?

2016年《加拿大律师杂志》(Canadian Lawyer)推测与摩萨克丰塞卡(Mossack Fonseca)律师事务所的违规行为有关:

‘至少以目前的形式,它不可能幸免于泄漏。当您的客户的事务在世界报纸上发布时,即使您是黑客的受害者,它从事的信任和信任业务也会迅速消失。谁会相信该公司不会再次发生?’

您可以采取什么措施来大幅度改善网络安全并减少因违反而造成的声誉损失?使您的员工成为网络防御的有效和积极的组成部分。

律师事务所为何如此吸引人?

敏感信息律师事务所代表客户所拥有的广度和深度,使它们成为众多潜在攻击者的诱人目标。这包括:

–企图通过提供勒索软件或在暗网上出售个人信息来勒索金钱的犯罪分子;

–企图通过使用公司间谍活动或获取知识产权获得竞争优势的组织,罪犯或民族国家盗窃敏感的客户信息;和

–由于政治,商业或意识形态原因而故意泄露敏感信息。

这些威胁绝不是详尽无遗的,也不是假设的。仅在2016年,全球许多律师事务所就遭受了大量攻击,其中许多具有破坏性后果:

–2016年4月:Mossack Fonsecca泄露了1150万个文档(历史上最大的泄露),这些文档包含有关个人税收交易的敏感财务信息,从FIFA代表到政治和世界领导人。 [1]

–2016年6月:网络犯罪分子利用勒索软件对十几家律师事务所进行了勒索赎金,并索要数万欧元。[2]

–2016年12月:华尔街上一些最大的律师事务所遭到了中国黑客的攻击,从内部交易中为他们带来了数百万美元的利润[3]

攻击者如何突破您的防御?

数字显示,最常见的攻击类型(84%)是网络钓鱼[4] 因此,减少您公司对网络钓鱼的敏感性将大大提高您的网络安全性。

网络钓鱼是首选的攻击方法,因为进入的门槛低且成功率很高。这样做的原因是因为网络钓鱼被设计为利用捕食人类情感的常见技术来获得响应。响应可以很简单,例如回复电子邮件,单击链接,在Web表单上提交信息或打开附件。所使用的主题,语调和内容可能相差很大,但通常包括:

– An urgent request;

–权威人士的指示;

–满足我们的好奇心的内容;和/或

–呼吁我们同情。

如果网络钓鱼程序制作得足够好,则很难发现它,并且如果该主题令人信服,则将使接收者更加难以响应攻击者的请求。

好消息是,每个网络钓鱼中总会有一些明显的尾巴迹象,并且通过正确的培训和教育,您的员工应该能够识别出它们。即使他们不确定,他们的培训也应使他们能够提醒适当的个人或团队某些东西看起来可疑或不寻常。但是,为了能够识别出绵羊皮中的这些狼,它们必须首先了解并了解这些威胁。如果他们不这样做,则很可能他们不太可能调整其行为以阻止成功的攻击。

人们已经意识到,许多公司都没有意识到每个人都有责任识别并保护自己的组织免受这些威胁。网络安全通常被视为其他人的责任; IT团队,合规团队或安全团队。有人错误地认为公司的防火墙和防病毒软件可以保护它们。尽管这始终是希望,但历史和新闻中却散布着一些并非如此的公司实例。不是因为技术或实施方式的任何故障,而是因为攻击者找到了一个更容易的切入点……人员!

为了解决这个问题,根据公司的文化,强调每个人的网络安全职责的沟通活动可能是有效的,但是,有时这需要以更正式的方法进行补充,这些职责应包含在所有员工的职务说明和职责中。实际上,这并不是“坚持”的方法。员工需要感到拥有所有权,这是他们的职权范围。

一旦灌输了责任感和主人翁意识的基本原则,下一步就是为您的员工提供必要的知识和信心,使他们能够认识到威胁。许多公司认为,他们通过每年一次的合规培训来提供此服务。但是,经验表明,这可能会带来错误的安全感。尽管合规培训为公司通过审核提供了便利,但很少改变整个公司的行为。

对于网络钓鱼这样普遍的威胁,仅仅一年1-2小时的通用培训​​是远远不够的。

所以答案是什么?

良好的网络行为和实践需要每天嵌入并在公司文化中得到加强。为了实现这一目标,制定正确的意识计划至关重要。它必须是持续的,可衡量的,有规律的,简洁的,适应性强的,个性化的和适当的参与。内容必须与公司所面临的威胁有关。

主题领域还可以涵盖非公司重点领域,例如保护您的Facebook个人资料或在线购物指南。通过使主题的某些方面与人们的生活息息相关,他们将更有可能在公司生活中采用这些良好行为。

最后,通过使用游戏化技术使其具有竞争力和吸引力,知识更容易保留。

从解决诸如钓鱼等单一风险领域入手,是影响实际行为改变的好方法。一旦嵌入,它便可以扩展到包括其他风险领域,例如密码安全性,社交媒体,信息处理和其他相关主题领域。

有道德的网络钓鱼活动提供了基准和趋势分析的良好来源,并提供了投资回报的证据。通过一开始就达到基准,您可以根据自己面临的风险,定期进行“全体员工”活动和针对特定团队(鱼叉式网络钓鱼)或个人(捕鲸)的活动。

您的员工网络意识计划的核心必须有一些重要的基础:

–利益相关者的购买和赞助:合作伙伴关系必须在计划的背后,并被纳入计划,以使其成功,因为它们为整个公司奠定了基调。同样,它们通常是诸如Whaling(针对高级管理人员的高度针对性的网络钓鱼攻击)等威胁的最大目标。

– Communication:确保您与同行交谈并获得他们的支持,因为人力资源,培训,法律,合规及许多其他领域都将发挥作用

– Champions:在整个公司范围内拥有支持者,以帮助传播信息,保持势头并分担工作量。这些冠军可以来自公司中的任何地方,而且越多样化越好。如果人们以正确的方式交付网络安全,并感到与之相关,人们就会对网络安全充满热情,这会让您感到惊讶。

–认可人们的正确行为:胡萝卜总是比棍棒更好,并且识别可以采用多种形式。

总结一下

您的员工应该是抵御网络攻击的最强有力的防御措施之一。但是,为了充分利用他们的功能或改善他们的漏洞,您的员工将需要:

–他们有责任了解公司面临的威胁;

–确信他们已经接受了必要的培训,以知道在潜在的攻击中寻找什么;

–警惕发现未遂袭击;和

–勤于举报任何可疑事件。

为保护您的律师事务所而对正确的技术进行投资非常重要,许多律师事务所都拥有强大的技术辩护,但是您的员工也可以这么说吗?只有同时拥有强大的技术防御和嵌入网络安全文化的网络意识型员工,您才能对抵御公司所面临的网络威胁的能力充满信心。

[1] //www.theguardian.com/news/2016/apr/03/what-you-need-to-know-about-the-panama-papers

[2] http://www.rte.ie/news/2016/0605/793529-solicitors-cyber-attacks/

[3] //www.ft.com/content/40b7bca8-cd1f-11e6-864f-20dcb35cede2

[4] http://www.legalweek.com/sites/legalweek/2016/10/25/law-firm-cyber-attacks-on-the-rise-with-73-of-uk-top-100-targeted/?slreturn=20170016110607

达里尔·弗拉克 是Blockphish的联合创始人兼CIO,该组织帮助组织提高其对网络钓鱼攻击的抵御能力。

注意:我们不携带广告或向公司收费以发布具有真正编辑价值的评论。