Är du företagsledare med känslig information i din organisation? Då kanske du bör ta dig en funderare över vilken advokatbyrå du anlitar…

Advokatbyråerna har under det senaste året både granskats och förekommit i media mer omfattande än tidigare vad gäller bristande informationssäkerhet. Detta är ju särskilt intressant ur perspektivet att advokatbyråer många gånger hanterar den mest känsliga information som byråns klient har. Är advokatbyrån den svagaste länken i kedjan och vem kommer i så fall att utnyttja detta?

Enligt diverse artiklar (t ex Bloomberg News och Forbes) har åtminstone krafter i ett stort land i Asien upptäckt och redan utnyttjat den svaga länken i stor omfattning.

Ett amerikanskt säkerhetsföretag gjorde under 2012 en uppskattning om att 80 av de störtsta amerikanska advokatbyråerna hackades under föregående år. Hur det ser ut i Sverige kan vi bara spekulera om.

International Legal Technology Associations (ILTA) senaste undersökning visar också på skrämmande statistik vad gäller advokatbyråernas bristande säkerhet:

• 86% använder inte någon form av två-faktors-autentisering
• 78% använder inte krypterade USB-minnen
• 58% har inget krypteringsskydd för bärbara datorer
• 61% har inget verktyg för att upptäcka intrång (intrusion detection)
• 94% har ingen kontroll alls över mobila enheter såsom iphones och ipads

ITLAs undersökning 2012 omfattade svar från 486 advokatbyråer eller motsvarande samt 90 000 jurister. Utifrån det jag vet om den svenska marknaden låter det väldigt mycket med 58 procent utan krypteringsskydd för bärbara datorer, men min erfarenhet är också att skillnaden vad gäller säkerhetsarbete är stor mellan advokatbyråerna i Sverige. Stora och medelstora byråer arbetar oftast med vissa IT-säkerhetsfrågor (oftast inte informationssäkerhet ur ett helhetsperspektiv) medan det kan se väldigt olika ut för de mindre byråerna. Det kan ibland också skilja sig stort mellan vad som står i de interna regelverken och vad som verkligen händer i verksamheten. Exempel här kan vara användande av dropbox och liknande tjänster. I samband med en IT-revision blir det ofta tydligt att verkligheten är en helt annan än vad man kan tro vid en första anblick.

Statistiken ovan satt i samband med vad advokatbyråerna själva ser som teknik eller trender vilka kommer påverka verksamheten i stor omfattning blir ju också extremt intressant ur ett säkerhetsperspektiv:

• 27%  BYOD/konsumentprodukter/mobila enheter
• 22% Molntjänster
• 9% VDI (virtual desktop infrastructure)
• 6% Säkerhet
• 4% plattor
• 3% SaaS (Software-as-a-Service)

Utifrån dessa siffror tror jag man vågar dra slutsatsen att informationen kommer att röra en hel del på sig… det vill säga informationen kommer inte enbart att finnas i advokatbyråns interna nätverk utan i alla möjliga mobila enheter och i molnet. Beställarrollen och kravställning vad gäller informationssäkerhet är något som borde stå högt upp på ”att-göra-listan”. Hur lever man annars upp till den så kallade advokatsekretessen?

Även brittiska “security service” (MI-5) uttalade sig under 2012:  “Most law firms have very weak security, attorneys are often arrogant so they don’t pay attention to security notices and guidelines, and the important files relating to clients’ international activities are usually much easier to find in the law firms’ files than in the corporate files.”

Sammanfattningsvis är det nog dags för även advokatbyråerna att se om sitt hus. Att vara den svagaste länken i en kedja är kanske inte den bästa situationen att befinna sig i om man är leverantör av juridiska tjänster?

Referenser:

http://www.iltanet.org/techsurvey

http://www.businessweek.com/news/2012-02-08/china-based-hackers-target-law-firms-to-get-secret-deal-data.html

http://www.forbes.com/sites/ciocentral/2012/01/31/conversations-on-cybersecurity-the-trouble-with-china-part-1/  (finns även delarna 2-4)

// Annika Biberg
Informationssäkerhetskonsult hos SAFESIDE